Télécharger memoire-coumet - Aix
Transcription
Télécharger memoire-coumet - Aix
INSTITUT DE RECHERCHE ET D’ETUDES EN DROIT DE L’INFORMATION ET DE LA COMMUNICATION DONNÉES PERSONNELLES & RÉSEAUX SOCIAUX Mémoire réalisé par Mlle Catherine COUMET Sous la direction de M. le Professeur Jean FRAYSSINET Master Recherche « Droit des médias et des télécommunications » Faculté de droit et de science politique d’Aix-Marseille Aix-en-Provence 2008-2009 Université Paul Cézanne U III REMERCIEMENTS Je tiens à remercier toute l‟équipe de l‟IREDIC et notamment Catherine BOUCHET et Philippe MOURON dont l‟aide à été précieuse. Je tiens également à remercier mes camarades du master 2 Droit des médias et des télécommunications, en particulier Gaëlle BROCHOT dont l‟aide et le soutien ont été nécessaires à l‟écriture de ce mémoire. 2 SOMMAIRE INTRODUCTION ............................................................................................................. 1 TITRE 1 Ŕ UN PHÉNOMÈNE MONDIAL AUX ENJEUX MULTIPLES ................... 12 CHAPITRE 1 Ŕ DONNÉES PERSONNELLES : UN ENJEU ÉCONOMIQUE MAJEUR ............................................................................................................................... 13 Section 1 – Le paradoxe d’un succès mondial à faible rentabilité .......................... 14 Section 2 – Des données de grande valeur .............................................................. 18 CHAPITRE 2 Ŕ LE TRAITEMENT INTERNATIONAL DES DONNÉES : D‟IMPORTANTES DIFFICULTÉS JURIDIQUES ............................................................. 25 Section 1 – Des modèles de protection radicalement différents .............................. 26 Section 2 – Une délicate détermination de la loi applicable ................................... 33 TITRE 2 Ŕ UN PHÉNOMÈNE MONDIAL COMPORTANT DE NOMBREUX RISQUES .................................................................................................................................. 45 CHAPITRE 1 Ŕ UNE PORTE D‟ACCÈS POUR LES CYBERCRIMINELS ............. 46 Section 1 – Le cas des éditeurs tiers hébergés sur le réseau social ......................... 47 Section 2 – Une aubaine pour les pirates du net ..................................................... 51 CHAPITRE 2 Ŕ L‟IDENTITÉ NUMÉRIQUE : NOTION AU CŒUR DES QUESTIONS D‟AVENIR DES RÉSEAUX SOCIAUX ...................................................... 58 Section 1 – Vers la reconnaissance d’une infraction « d’usurpation d’identité » ... 59 Section 2 – Vers la portabilité des données ............................................................. 71 CONCLUSION ............................................................................................................... 75 3 INTRODUCTION « Si je décide de participer à un réseau social, je vais être cristallisé, englué par les informations que j’aurais confiées à l’âge de 21 ans. Dans dix ans, on vous les ressortira. Vous êtes tracé car vous perdez la possibilité d’évoluer. On a le droit, à 20 ans, de dire une connerie, ce n’est pas pour autant qu’on doit vous la rapporter toute votre vie »1 a dit Alex Türk, président de la Commission nationale de l‟informatique et des libertés (CNIL) et actuel président du groupe de l‟article 292. Cette citation du président de la CNIL représente bien les enjeux que posent à l‟heure actuelle les réseaux sociaux. Un réseau social permet avant toute chose de constituer un réseau de contacts. Après la constitution de son « profil », on peut prendre contact avec d‟autres utilisateurs du réseau et vice versa. Le web 2.0 se présente alors comme le média le plus adapté à ce genre d‟activité, avec, en 2001, le premier réseau social Friendster. En effet, le web 2.0 a permis le développement des « médias sociaux » c'est-à-dire les médias qui permettent une interaction entre les internautes. On trouve les blogs, wiki, les sites de partages (YouTube ou Dailymotion), les outils de discussion (Skype) et les réseaux sociaux. Ces médias sociaux ne sont pas bien vus par tout le monde. Ils contribuent notamment au développement de la contrefaçon sur Internet. En effet, beaucoup d‟internautes utilisent ces moyens pour diffuser des œuvres contrefaites (musique, films, séries télévisées, etc). Contrairement aux plateformes peer-to-peer, l‟internaute qui veut visionner l‟œuvre, ne la télécharge pas. C‟est la méthode dite du streaming. C‟est peut être aussi pour cela que les médias sociaux ont tant de succès auprès des utilisateurs. Depuis 2001, c‟est l‟explosion. Environ 140 millions de personnes sont inscrites sur Facebook, 120 pour MySpace. Au total, on compte près de 600 millions d‟utilisateurs de réseaux sociaux à travers le monde. Et les réseaux se diversifient. En dehors des généralistes tels que Facebook, on trouve les réseaux centrés sur l‟aspect professionnel tels que Viadéo ou LinkedIn, les réseaux « privés », c'est-à-dire que l‟on peut rejoindre uniquement sur invitation : l‟exemple en est de aSmallWorld, le réseau le plus exclusif de la planète avec 130 000 1 2 « Réseaux sociaux en ligne. Attention vous être tracés ! », 20 décembre 2008, www.letelegramme.com. Groupe de travail mis en place par les articles 29 et 30 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l‟égard du traitement des données à caractère personnel et à la libre circulation de ces données, in JOCE L 281 du 23 novembre 1995. 4 membres qui a pour but de favoriser une vie sociale riche pour « l‟élite économique et intellectuelle ». Des plates formes sont même crées pour que chacun puisse à son tour créer son propre réseau social. Le web n‟ayant aucune limite : les réseaux Dogster et Catser sont exclusivement réservés respectivement aux chiens et aux chats. Malgré l‟avance de Facebook au plan international, il n‟y a pas de vrai leader. Tout d‟abord, on remarque que chaque partie du monde à son réseau social : MySpace est numéro un aux États-Unis, les brésiliens ont choisi Orkut (le réseau de Google), les anglais préfèrent Bebo alors que Skyblog arrive en tête en France et enfin l‟Asie du sud-est privilégie Friendster. Le marché est très instable : les réseaux existants se livrent une guerre sans merci et de nouveaux acteurs apparaissent sur le marché chaque jour. Ensuite, les utilisations de ces réseaux sont variées : retrouver des camarades de classe ou de vieilles connaissances ; se faire des relations, de nouveaux contacts professionnels ou amicaux (et plus si affinités) ; organiser des évènements ou même assurer une certaine promotion de sa personne ou de son entreprise. Les employeurs se font une idée rapide des candidats à un poste en regardant leurs profils, les candidats recherchent un emploi via ces réseaux, d‟autres encore assurent la promotion d‟organisations terroristes. La liste est sans fin. Les réseaux sociaux sont réellement devenus des outils de communication majeurs. Les réseaux sociaux confirment la théorie des « six degrés de séparation ». Cette théorie date de 1929. L‟écrivain Frigyes Karinthy3 pose l‟hypothèse qu‟une personne dans le monde est reliée à une autre au travers d‟une chaîne de connaissances comprenant un maximum de six maillons. En 1967, l‟expérimentation à grande échelle « Small World »4 est lancée et les résultats sont probants. Il est assez facile d'expérimenter le principe des six degrés de séparation. On donne une lettre à un premier sujet et on lui demande de la remettre à une personne en particulier. Pour ce faire, il doit passer la lettre à une de ses relations, dont il suppose qu'elle est la mieux placée pour contacter la cible ou un proche de cette dernière. Ce second maillon de la chaîne passe la lettre à un de ses contacts selon le même principe, et ainsi de suite. En 2008, une équipe de recherche travaillant pour Microsoft5 a étudié 30 milliards de mails envoyés par 240 3 Écrivain hongrois, 1887 Ŕ 1938. Il élabore la théorie des 6 degrés de séparation dans sa nouvelle « Chaînes » publiée en 1929. 4 Étude menée par Stanley MILGRAM aux États-Unis. 5 Étude menée par 2 chercheurs de chez Microsoft, Eric HORVITZ et Jure LESKOVEC. 5 millions de personnes en juin 2006 et a établi qu‟en moyenne deux personnes peuvent être reliées en 6,6 étapes. On remarque aussi que les réseaux se développent en tant que moyen de communication des politiques. En effet, vu l‟audience potentielle qu‟offre les réseaux sociaux sans dépenses de publicité, il s‟agit d‟un moyen de communication très attractif. Une grande majorité d‟hommes et de femmes politiques ont crées leur profil sur de grands réseaux. Preuve de ce développement : le pape Benoit XIV à désormais son profil sur Facebook, site qui, a l‟approche des élections en Iran, a été interdit dans ce pays. Et récemment, Nathalie Kosciusko-Morizet, secrétaire d‟État à la Prospective et au Développement de l‟économie numérique, annonçait sa grossesse via son profil Facebook. Et c‟est bien là le point commun de tous ces réseaux : on y met tous des données personnelles, que cette quantité de données soit importante ou non ou que ces données soient plus ou moins personnelles. Il s‟agit là l‟enjeu majeur des réseaux sociaux. Le partage des passions, des hobbies, des centres d‟intérêts, de même que le nom ou l‟adresse mail représentent une quantité de données personnelles considérable à l‟échelle mondiale qui soulève de nombreuses questions notamment quant à la protection et l‟utilisation de toutes ces données. Tout d‟abord, les réseaux sociaux sont considérés par la jurisprudence comme étant des hébergeurs aux sens de la loi du 21 juin 2004 pour la confiance dans l‟économie numérique6. Cette dernière définit les hébergeurs comme étant « les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ce service »7. Ce qui les distingue des éditeurs de services de communication au public en ligne. Quel est l‟intérêt de cette distinction ? Le régime de responsabilité est différent. Les hébergeurs (au même titre que les fournisseurs d‟accès à internet) ne sont pas, par principe, responsables du contenu diffusé. Les éditeurs eux le sont. Si les fournisseurs d‟accès à internet ne peuvent voir leur responsabilité engagée, il en va différemment pour les hébergeurs. En effet, ces derniers seront considérés comme responsables du contenu diffusé s‟ils avaient connaissance du caractère illicite du contenu ou de faits et circonstances faisant apparaître ce 6 Loi n°2004-575 du 21 juin 2004 pour la confiance dans l‟économie numérique, in JORF, 22 juin 2004. 7 Article 6 I.2 de la loi n°2004-575 du 21 juin 2004. 6 caractère et qu‟ils n‟ont pas agi promptement pour retirer ce contenu ou en rendre l‟accès impossible. Les réseaux sociaux n‟étant pas visés par la loi de 2004, c‟est la jurisprudence qui a été amené à qualifier juridiquement ces acteurs. La tâche n‟a pas été facile. La jurisprudence majoritaire a d‟emblée qualifié les réseaux d‟hébergeurs, en raison de la non-intervention de ceux-ci dans l‟édition du contenu. Puis le doute est arrivé par une affaire de juin 2007 8. Un profil avait été crée sur le réseau MySpace permettant notamment de visionner des sketches de l‟humoriste Jean-Yves Lafesse. Celui-ci a alors attaqué la société MySpace en contrefaçon. Le juge des référés du tribunal correctionnel de Paris a alors considéré MySpace comme éditeur (et donc responsable) dans la mesure où il impose une structure formelle à tous les utilisateurs et que cela dépasse la simple fonction d‟hébergeur. La jurisprudence a été amenée à nuancer cette décision. En effet, il est impossible, techniquement pour de tels réseaux de contrôler le contenu de chaque profil au regard de la quantité de ceux-ci. La jurisprudence considère alors qu‟ils sont hébergeurs. Ces hébergeurs sont alors amenés à collecter et traiter des données dites personnelles dans le cadre de leur activité. C‟est la loi du 6 janvier 1978 modifiée relative à l‟informatique, aux fichiers et aux libertés9 qui, définit la notion de donnée à caractère personnel et met en place le régime de protection de celles-ci. Dans son article 2, la loi dispose que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’immatriculation ou à un ou plusieurs éléments qui lui sont propres. […] Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ». 8 Tribunal de Grande Instance de Paris, Ordonnance de référé du 22 juin 2007, Jean-Yves L. dit Lafesse/ Myspace. 9 Loi n°78-17 du 6 janvier 1978 relative à l‟informatique, aux fichiers et aux libertés, in JORF, 7 janvier 1978. 7 La loi propose une définition large afin d‟assurer une grande protection des données à caractère personnel voulut à l‟échelle européenne avec la transposition de la directive 95/46/CE du 24 octobre 199510. En outre, différentes institutions ont été créées pour assurer le respect des différentes dispositions par les responsables de traitements. La première d‟entre elles est la Commission Nationale de l‟Informatique et des Libertés. Il s‟agit de la première autorité administrative indépendante française, créée par la loi de 1978 relative à l‟informatique, aux fichiers et aux libertés. Elle est composée de 17 membres : 2 députés, 2 sénateurs, 2 membres du Conseil économique et social, 2 conseillers d‟État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes et 5 personnalités qualifiées (dont une nommée par le président de l‟Assemblée nationale, une par le président du Sénat, et 3 par le conseil des ministres). La CNIL choisit alors son président parmi ses membres, qui disposent d‟un mandat de 5 ans (pour les parlementaires, le mandat est de durée égale à leur mandat électif). La loi de 1978 modifiée confie 5 missions principales à la CNIL. Tout d‟abord, elle doit informer les personnes de leurs droits et obligations et elle peut proposer au gouvernement les mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques. L'avis de la CNIL doit d‟ailleurs être sollicité avant toute transmission au Parlement d'un projet de loi créant un traitement automatisé de données nominatives. Ensuite, La CNIL veille à ce que les modalités de mise en œuvre du droit d'accès aux données contenues dans les traitements n'entravent pas le libre exercice de ce droit. Elle exerce, pour le compte des citoyens qui le souhaitent, l'accès aux fichiers intéressant la sûreté de l'État, la défense et la sécurité publique, notamment ceux des Renseignements généraux. Les traitements de données à « risques » sont soumis à autorisation de la CNIL. Elle donne un avis sur les traitements publics utilisant le numéro national d‟identification des personnes. Elle reçoit les déclarations des autres traitements. Le non-respect de ces formalités par les responsables de fichiers est passible de sanctions administratives ou pénales. La CNIL tient à la disposition du public le « fichier des fichiers », c'est-à-dire la liste des traitements déclarés et leurs principales caractéristiques. 10 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l‟égard du traitement des données à caractère personnel et à la libre circulation de ces données, in JOCE L 281 du 23 novembre 1995. 8 En outre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques. La Commission use de ses pouvoirs de vérification et d‟investigation pour instruire les plaintes, pour disposer d'une meilleure connaissance de certains fichiers, pour mieux apprécier les conséquences du recours à l'informatique dans certains secteurs, pour assurer un suivi de ses délibérations. La CNIL surveille par ailleurs la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non-autorisées. La CNIL peut prononcer diverses sanctions graduées : avertissement, mise en demeure, sanctions pécuniaires pouvant atteindre 300 000 €, injonction de cesser le traitement. Enfin, le Président peut demander par référé à la juridiction compétente d'ordonner toute mesure de sécurité nécessaire. Il peut, au nom de la Commission, dénoncer au Procureur de la République les violations de la loi La CNIL dispose donc d‟un pouvoir assez large et entend l‟utiliser du mieux possible. Elle est « accompagnée », au niveau européen, du Groupe de l‟article 29. Ce groupe de travail est appelé ainsi car il a été mis en place par l‟article 29 de la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l‟égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il s‟agit d‟un groupe à « caractère consultatif et indépendant ». Il se compose d‟un représentant de l‟autorité ou des autorités de contrôle désignées par chaque État membre, d‟un représentant de l‟autorité créée pour les institutions communautaires et enfin, d‟un représentant de la Commission européenne. Il est actuellement présidé par le président de la CNIL, Alex Türk. L‟article 30 de la même directive définit les missions du groupe. Il examine toutes les questions portant sur la mise en œuvre des dispositions nationales prises en application de la directive, en vue de contribuer à leur mise en œuvre homogène, il donne un avis sur les niveaux de protections, il conseille la Commission sur tout projet de modification de la directive, projet de mesures additionnelles ou spécifiques à prendre pour sauvegarder les droits et libertés des personnes physiques à l‟égard du traitement des données à caractère personnel. Il peut, de sa propre initiative, émettre des recommandations, et informe la Commission des divergences susceptibles de porter atteinte à l‟équivalence de la protection. Son rôle est essentiel sur le plan communautaire et international. Il est le porte-parole de l‟Europe pour promouvoir notre système de protection à l‟étranger. 9 Cela ne rassure pourtant pas les internautes. D‟après un sondage11 IPSOS réalisé les 7 et 8 novembre 2007, 71% des sondés jugent insuffisant le système de protection de leur vie privée sur internet. De même que 78% des 18-24 ans jugent que leur vie privée est insuffisamment protégée. Cela ne les détourne pas pour autant de la toile. Et dans certains cas, la mise à dispositions de telles informations se révèle être un point positif. Quelques affaires permettent d‟illustrer cet avis. Récemment, un skieur de l‟équipe national du Népal, en entrainement en France, avait fugué. La publication de photos de lui sur Facebook a permis dans un premier temps d‟assurer une publicité de l‟affaire, et dans un second de retrouver le skieur puisqu‟un utilisateur qui avait vu sa photo sur le site l‟a ensuite reconnu errant dans Paris et a permis d‟alerter les autorités. Dans une autre affaire, au Royaume Uni, une jeune femme qui louait un appartement dont elle était propriétaire a remarqué, sur des photos publiées là aussi sur Facebook, que ses locataires organisaient des soirées « agitées » dans son appartement, le saccageant complètement. Se rendant compte de la situation à temps, elle a immédiatement résilié le bail et tenté de restaurer son immeuble. Si les réseaux sociaux sont actuellement très critiqués pour les atteintes à la vie privée qu‟ils représentent, on ne peut nier certains apports de ceux-ci. Les internautes se révèlent être plutôt attentifs à l‟utilisation que peuvent faire les réseaux sociaux de leurs données. Lorsque Facebook a installé le logiciel Beacon, il y eut un tollé parmi les utilisateurs. Ce logiciel permettait de publier sur le profil des utilisateurs les achats qu‟ils avaient effectués sur des sites partenaires. Les utilisateurs n‟avaient pas le choix, Beacon était imposé. Suite à la colère des utilisateurs, Facebook a fait marche arrière et a retiré Beacon. Les utilisateurs qui le souhaitent, peuvent toujours choisir d‟utiliser Beacon. Même « engouement » de la part des utilisateurs lorsque Facebook toujours, a décidé de changer les conditions générales d‟utilisation afin de s‟octroyer « une licence perpétuelle et mondiale […] de n’importe quel contenu publié pour n’importe quelle utilisation, y compris commerciale et publicitaire ». « Les contenus personnels […] survivent à la fermeture d’un compte ». Facebook pouvait dès lors laisser en ligne des contenus partagés par les utilisateurs qui se désabonnaient. Les utilisateurs se sont de nouveau fait entendre. Facebook a alors mis en place une sorte de référendum. Les utilisateurs étaient invités à aller voter pour choisir quelle 11 Sondage réalisé par IPSOS pour la CNIL, « Sur Internet, pensez vous que la vie privée est suffisamment protégée ? », publiée le 13 octobre 2008, www.cnil.fr. 10 version des conditions générales d‟utilisation ils souhaitaient. La version « originale » a été retenue par une large majorité. Facebook a donc retiré la disposition mettant en place une licence perpétuelle. Désormais, dès qu‟un utilisateur se désabonne, les contenus associés disparaissent également. L‟enjeu que représentent les données personnelles des utilisateurs des réseaux sociaux est donc essentiel. Dans ces conditions, il convient de s‟interroger sur l‟étendue de la protection offerte aux données à caractère personnel laissées sur le réseau social par l‟utilisateur. Nous étudierons dans un premier temps, les enjeux multiples que représentent ce phénomène mondial (titre 1), puis dans un second, les nombreux risques qu‟il comporte (titre 2). 11 TITRE 1 - UN PHÉNOMÈNE MONDIAL AUX ENJEUX MULTIPLES. Le traitement des données à caractère personnel que les internautes confient est à la fois le rôle principal des hébergeurs et leur problème majeur. En effet, ces données personnelles font à la fois l‟objet d‟une forte protection légale et d‟une importante attractivité pour les publicitaires. Cette dernière est telle que certains, avant tout défenseurs de la protection des données à caractère personnel, suggèrent le paiement d‟une contrepartie aux internautes livrant leurs données personnelles. Il s‟agit en réalité de rebuter les publicitaires. En payant ces données, celles-ci perdent de leur intérêt qui est essentiellement l‟économie de campagnes publicitaires inutiles en privilégiant les publicités ciblées. Une chose est certaine, les données personnelles ont une importante valeur économique. (Chapitre 1) Évidemment, il s‟agit ici d‟étudier ces différentes pratiques au regard de la législation applicable ce qui ne s‟avère pas être chose facile. Les réseaux sont installés dans différentes parties du monde (essentiellement aux États-Unis) ce qui pose le problème des conflits de lois. En effet la protection diffère selon le pays où le traitement s‟effectue ce qui fait que l‟internaute ne sait jamais vraiment quelle protection est offerte aux données personnelles qu‟il laisse sur un réseau social. (Chapitre 2) CHAPITRE 1 - DONNÉES PERSONNELLES : UN ENJEU ÉCONOMIQUE MAJEUR. Le succès des réseaux sociaux est incontestable. Pour les réseaux majeurs, ils font partie des pages web les plus visitées au monde. Par exemple Facebook est le sixième site web le plus visité au monde. Il a dépassé eBay et tente de dépasser Google12. Des millions de gens, qu‟ils soient inscrits ou non au réseau, surfent sur ces pages. Étonnamment, la rentabilité de ces réseaux n‟est pas proportionnelle à leur succès et les revenus publicitaires sont, au final, insuffisants (section 1). Et pourtant, les réseaux disposent de données ayant une valeur économique considérable (section 2). 12 D‟après une déclaration du co-fondateur de Facebook, Mark Zuckerberg. Section 1 - Le paradoxe d‟un succès mondial à faible rentabilité. Les réseaux sociaux sont pour la majorité des réseaux gratuits : l‟internaute n‟a pas à payer pour s‟inscrire au réseau. C‟est l‟essence même du modèle économique d‟Internet. Il s‟agit là probablement le point qui assure un tel succès à ces réseaux mais qui paradoxalement est remis en cause (§1) et qui est peut être amené à disparaître (§2). §1 Ŕ Un modèle de gratuité mis à mal. Malgré l‟audience des réseaux sociaux, les revenus publicitaires sont insuffisants (A.) et certains services (éventuellement rentables) ne sont pas exploités par les réseaux (B.). A- Des revenus publicitaires insuffisants. Une enquête13 menée par eMarketer en décembre 2008 a révélé que les réseaux sociaux sont encore sous-investis. En effet, les réseaux sociaux, en 2008 aux États-Unis, ont réalisés 1,2 milliards de dollars de chiffre d‟affaires alors qu‟ils rassemblent 100 millions de visiteurs par mois. Cela indiquerait qu‟un visiteur génère en moyenne un dollar par mois. Ce qui est évidemment sous évalué. Dans la mesure où, en règle générale, un utilisateur de réseau social se connecte plusieurs fois par mois sur sa page personnelle et visionne alors plusieurs dizaines de publicités en surfant sur le site. Ces publicités, comme nous le verrons plus loin, sont de plus en plus ciblées en fonction de l‟internaute ce qui leur assure une plus grande rentabilité. Le dollar mensuel est donc une véritable sous-évaluation. Ceci n‟étant qu‟une moyenne, on remarque des écarts importants entre les grands réseaux tels que MySpace, le plus important aux États-Unis, et d‟autres beaucoup plus discrets. Ce sont sur ces derniers que l‟absence de revenus publicitaires joue. Étant la seule ressource de ces réseaux, un si faible revenu ne leur permet pas de rentrer dans leur frais. L‟effet est moins dévastateur sur les grands réseaux au succès international qui peuvent évidemment négocier plus aisément les montants. Cela n‟empêche pas les réseaux d‟être très attractifs. Par exemple Twitter, petit nouveau sur le marché, n‟a pas encore réussi à générer des bénéfices. Et pourtant, la croissance exponentielle de son audience lui a permis d‟obtenir une levée de fonds de 250 millions de dollars et s‟est permis de refuser une offre de rachat par Facebook d‟un montant d‟environ 500 millions de dollars. 13 « US Social Network Ad Spending Growth Lowered », du 10 décembre 2008, publiée sur www.emarketer.com. eMarketer est un site spécialisé dans les études de marché sur internet, le e-business, le marketing « on line », les médias et nouvelles technologies. 14 Le montant des revenus publicitaires serait alors amené à augmenter dans les prochaines années mais de façon très faible. On parle de 1,6 milliards de dollars de chiffre d‟affaires en 2013. Ces sommes restent faibles comparées à l‟ampleur que prennent petit à petit les réseaux sociaux. Cela conduit les opérateurs à envisager d‟autres sources de revenus. B- De nombreux services non exploités. L‟unique revenu des réseaux provient des ressources publicitaires et cela peut paraître étonnant. En effet, avec le développement des nouvelles technologies, de nombreux moyens peuvent être utilisés pour financer les réseaux, du moins pour engranger des revenus supplémentaires. Ces moyens sont diverses : il s‟agit essentiellement de formes de commerce électronique comme la possibilité pour l‟utilisateur d‟acheter sur le réseau des produits dont certains produits dérivés de la marque du réseau. C‟est la technique du micro-paiement. En effet, le commerce électronique se développe de plus en plus. Les internautes utilisent de plus en plus cette méthode pour des raisons pratiques. Nul besoin de se déplacer pour acheter ou vendre un produit ; les garanties sont les mêmes que pour tout autre contrat, et les coordonnées bancaires sont de plus en plus protégées. Les sites de ventes aux enchères tels qu‟eBay connaissent un succès foudroyant. Et pourtant, on ne trouve rien de tel sur les réseaux sociaux. Les possibilités d‟acheter des produits résultent des publicités sur lesquelles il est possible de cliquer, ce qui envoie l‟internaute sur le site de l‟annonceur, ou d‟applications que l‟utilisateur ajoute et qui lui offrent cette possibilité qui varie selon l‟application. Ces applications sont des éditeurs tiers indépendants de l‟hébergeur qui ne récupère alors aucun bénéfice de ce commerce. Alors que ces ressources pourraient à elles seules représenter une alternative aux revenus publicitaires. Il existe quelques exceptions comme par exemple MySpace a mis en place le service « FakeYourSpace » (« fausse ton profil » en anglais). Pour 1,99 dollars par mois, les utilisateurs en mal de popularité peuvent s‟offrir quelques amis s‟approchant de la perfection. Si le concept fait sourire, il génère un revenu supplémentaire pour MySpace non négligeable (et met en avant le caractère « social » des réseaux). Quelques initiatives de la sorte sont mises en place mais aucune ne propose une réelle alternative aux revenus publicitaires. 15 §2 Ŕ Vers un service payant ? La seule réelle alternative ou complément aux revenus publicitaires est l‟adhésion payante au service par l‟utilisateur. Quelques réseaux ont déjà mis en place des modèles économiques mixtes (A.), mais la mise en place d‟un service payant n‟est pas sans risque pour le réseau (B.). A- Des modèles économiques mixtes. Face à un modèle économique entièrement gratuit, la solution d‟un service payant s‟impose de plus en plus comme l‟alternative à la loi de la publicité. Viadéo, réseau social français, en est le parfait exemple. Il privilégie le contact demandeurs d‟emploi/ entreprises et s‟impose de plus en plus comme étant leader en la matière. Il tire ses revenus de trois sources : les revenus publicitaires (20%), le recrutement (30%) et les abonnements (50%). Les utilisateurs peuvent s‟inscrire gratuitement sur Viadéo mais ils n‟ont alors pas accès à l‟ensemble des avantages du réseau. Seule une souscription à un abonnement permet à l‟utilisateur de bénéficier de tous les services. Quant au « recrutement », il regroupe la publication d'offres d'emploi, la communication, la consultation de la « profilthèque » qui permet aux entreprises d'accéder au profil des membres d'accord pour être contactés par les recruteurs. Ce mécanisme permet, tout d‟abord, de ne pas être dépendant des annonceurs et ensuite, il permet de surmonter la crise sans trop de difficultés. En effet, le malheur des uns fait toujours le bonheur des autres. Le taux de chômage augmentant et l‟administration (notamment le pôle emploi) étant débordée, les demandeurs d‟emploi utilisent de plus en plus ce type de plateformes pour trouver un emploi qui s‟avère être plus efficace et rapide. Ce modèle économique mixte tend à se développer. Twitter, par exemple, songe à faire payer l‟utilisation commerciale de ses services. L‟idée fait son chemin dans la mesure où les entreprises seront prêtes à dépenser une certaine somme afin de bénéficier de la considérable audience d‟un réseau. En effet, en créant une page sur un réseau social, les entreprises s‟offrent une publicité à prix raisonnable pour une audience potentielle de plusieurs millions de personnes. Cette solution n‟est envisageable que dans le cas où le réseau social apporte un véritable service à la personne ou l‟entreprise. L‟idée de rendre payant, pour chaque utilisateur, l‟inscription à un réseau social généraliste apparaît à l‟heure actuelle risquée. 16 B- Les risques d‟un modèle payant. L‟attrait même des réseaux sociaux est le fait de pouvoir communiquer, rester en contact, ou nouer de nouveaux contacts à faible coût c'est-à-dire gratuitement. La majorité des adolescents et des jeunes adultes ont un compte sur un réseau social et il apparaît peu probable qu‟ils acceptent de payer pour être inscrits sur ces plateformes dans la mesure où les moyens de communications alternatifs sont nombreux. De même pour toutes les personnes qui ne s‟inscrivent que « pour le principe », c'est-à-dire qu‟elles suivent le phénomène de mode sans réellement s‟y intéresser. Car oui, pour beaucoup, les réseaux sociaux sont avant tout un phénomène de mode qui finira par s‟étioler. Si l‟attachement d‟un grand nombre à ces réseaux n‟est pas assuré, il apparaît suicidaire, pour le réseau social, de proposer un service payant. Si le réseau social offre un véritable service tel que la recherche d‟emploi ou la promotion musicale (comme MySpace), le prix de l‟inscription paraît justifié. Pour le cas d‟un réseau n‟apportant rien de plus qu‟un « divertissement » ou un espace de publication personnel (comme Facebook) le paiement de l‟inscription paraît moins justifié et par là même plus risqué. Le fait est que la mise en place d‟un service payant serait synonyme de perte d‟audience qui peut s‟avérer être relativement importante, ce qui n‟arrangerait au final pas les opérateurs. En outre, si quelques réseaux mettent en place un modèle payant, il risque d‟y avoir un basculement des utilisateurs de ces réseaux vers les réseaux maintenant un service gratuit, permettant alors à ces derniers de bénéficier de recettes publicitaires plus importantes, les annonceurs suivant le flot des utilisateurs. Les réseaux mettant en place un service payant risquent alors de perdre leur audience et leurs revenus publicitaires, au bénéfice des services gratuits. Si dans l‟idéal, un service payant est souhaitable, en pratique, il n‟arrangerait en rien les affaires des réseaux. L‟idée d‟un modèle économique mixte semble plus judicieuse. Notamment, l‟idée de conserver un service gratuit pour les utilisateurs privée accompagnant la mise en place d‟un service payant pour une utilisation commerciale du service. C‟est une idée séduisante qui permettrait à tous d‟être gagnant. 17 Section 2 - Des données de grande valeur. La faible rentabilité des réseaux est d‟autant plus paradoxale qu‟ils disposent d‟une quantité impressionnante de données à caractère personnel qui ont une valeur économique considérable pour l‟hébergeur (§1) comme pour l‟annonceur (§2). §1 Ŕ Une mine d‟or à la disposition des hébergeurs. À chaque fois qu‟un internaute s‟inscrit à un réseau social il livre un certain nombre de données personnelles, que ce soit volontaire (A.) ou non (B.). A- Les données confiées consciemment. Le principe même des réseaux sociaux est de donner des informations personnelles sur sa vie : ses loisirs, ses centres d‟intérêts, ses goûts musicaux ou cinématographiques, ainsi que sa ville, sa date de naissance, allant jusqu'à ses opinions politiques ou religieuses ou encore ses préférences sexuelles. L‟essence même des réseaux sociaux est de rendre publique une vie considérée originellement comme privée. Il s‟agit en quelque sorte d‟un journal intime (moins intime qu‟un blog) qui permet de raconter sa vie à ses amis ou contacts. Si les personnes ont plus ou moins conscience des conséquences de cette publicité, il en demeure pas moins que le phénomène de publicité de la vie privée se développe de plus en plus. Si l‟on regarde les chiffres de vente des magazines « people », on note l‟intérêt majeur que porte les lecteurs à la vie privée des célébrités. Il n‟est pas étonnant que ces mêmes personnes portent un intérêt à la vie de leurs amis. Chaque utilisateur choisit, lors de son inscription quelles informations il souhaite donner et qui aura accès à ses informations. En effet, à chaque inscription, l‟hébergeur demande un certains nombres d‟informations personnelles. Il s‟agit pour eux de répondre à une exigence légale. La loi pour la confiance dans l‟économie numérique du 21 juin 2004 dispose dans son article 6. II., alinéa 1, que les fournisseurs d‟accès à internet et les hébergeurs « détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ». Ils demandent le nom et prénom, l‟adresse mail, et éventuellement quelques renseignements supplémentaires. L‟intérêt de cette mesure est essentiellement de pouvoir identifier toute personne mettant en ligne un contenu 18 illicite ; dans le cadre des réseaux sociaux, ces informations constituent la base même de la constitution d‟un profil. Ensuite, la personne peut choisir de divulguer plus ou moins d‟informations personnelles qui seront publiées ou non. En effet on peut établir un profil restreint qui ne pourra être vu que de nos contacts. L‟utilisateur pourra alors choisir, s‟il le souhaite, de créer un profil dit public dans lequel il choisira quelles informations seront livrées. En règle générale, le nom de la personne est obligatoirement donné. L‟anonymat n‟est pas monnaie courante sur les réseaux et seuls les pseudonymes apparaissent comme une solution pour dissimuler son véritable nom. Ces informations représentent une véritable mine d‟or pour les hébergeurs dans la mesure où les informations données, le sont volontairement, ce qui leur permet de traiter des informations qu‟il est interdit de traiter. La loi de 1978 modifiée relative à l‟informatique, aux fichiers et aux libertés dispose dans son article 8 que « il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celle-ci ». Ces informations pouvant être données sur un réseau social, ceux-ci disposent d‟informations qu‟il est difficile pour tout autre opérateur d‟obtenir, ce qui accroit considérablement la valeur de ces données. B- Les données livrées involontairement. S‟ajoutent aux données livrées volontairement un certains nombres de données « connexes », livrées lors de la navigation sur Internet, a fortiori sur les réseaux sociaux, telles que les données de connexion et adresses IP. Si la question de la qualification juridique de l‟adresse IP est toujours posée, il n‟en demeure pas moins qu‟elle est très utile pour suivre l‟internaute et donc le surveiller et le profiler. Par exemple, la société DoubleClick, rachetée par Google, est une société de cybermarketing opérant grâce à des cookies envoyés lors de la visite de sites associés à cette société. L‟internaute n‟a en règle générale aucune conscience de ces données et ne se rend alors pas compte que l‟anonymat est obsolète sur internet. La personne n‟a pas besoin d‟être nommée pour être tracée et profilée. 19 En outre, de nombreuses informations peuvent être livrées par de tiers notamment les amis et contacts. Cela se traduit essentiellement par la mise en ligne sur le réseau de photos et vidéos « taggées » c'est-à-dire que les personnes figurant sur la photo sont nommées. Il est possible d‟enlever son nom d‟une telle photo mais il n‟est possible de le faire qu‟une fois le « dommage » causé, c'est-à-dire que la personne publiant la photo nomme les personnes qui ne pourront qu‟après retirer l‟information. Il serait plus protecteur de demander l‟autorisation de la personne avant de pouvoir « tagger » une photo ou une vidéo. Cela répondrait également aux exigences posées par le droit à l‟image qui implique qu‟aucune représentation de l‟image d‟une personne ne peut être exploitée sans son consentement. Même si la personne était consentante pour être prise en photo, elle ne l‟était pas forcément pour que la photo soit publiée sur un réseau avec des millions de potentiels visiteurs. Une résolution a été prise à cet effet lors de la 30ème conférence internationale des commissaires à la protection des données et de la vie privée (tenue du 15 au 17 octobre 2008 à Strasbourg) qui stipule que les réseaux doivent informer leurs utilisateurs sur la façon dont ceux-ci traitent les données personnelles de tiers qu‟ils diffusent sur leurs profils. Les utilisateurs ont par ailleurs rarement idée des informations qu‟ils donnent en publiant des photos sur des réseaux sociaux. On peut obtenir, déduire, et supposer beaucoup de choses à partir d‟une photo, ce dont les gens n‟ont pas forcément conscience. C‟est l‟exemple d‟un demandeur d‟emploi qui avait publié des photos d‟une soirée arrosée. Celui qui aurait pu être son futur employeur, étant allé voir son profil sur un réseau social, est tombé sur ces photos et a finalement décidé de ne pas embaucher la personne. Si cet exemple est radical, il s‟agit d‟un des aspects négatifs des réseaux sociaux. Les photos publiées à la légère sont des sources d‟information essentielles. La notion de consentement au traitement des données est par ailleurs essentielle. Le consentement de l‟utilisateur est nécessaire. Sans ce consentement, le traitement des données est illicite. Si le fait que les utilisateurs s‟inscrivent d‟eux même à un réseau social suffit en règle générale à déduire son consentement au traitement de ses données, ceci est discutable. En effet, dans la mesure où l‟utilisateur n‟a aucune conscience de la portée de son acceptation, peut-on considérer que son consentement est « éclairé » comme l‟exige le droit français ? En outre, un utilisateur peut, dans certains cas, être amené à donner son consentement pour le traitement des données d‟une autre personne (dans le cas d‟applications ajoutées sur le réseau comme nous l‟étudierons plus tard). Or il n‟a aucune capacité pour donner son consentement à la place d‟un autre en l‟absence d‟un mandat lui donnant ce pouvoir. 20 Cette technique est donc discutable, mais à ce jour, aucun juge n‟a été saisi de la question. §2 Ŕ Une mine d‟or à la disposition des annonceurs. Les réseaux sociaux permettent le développement de techniques publicitaires, ô combien efficaces, ciblées (B) nécessitant un préalable profilage de l‟internaute (A.). A- Un profilage complet de l‟internaute. La réunion de toutes ces données permet aux réseaux sociaux de tout connaître de leurs utilisateurs : leurs goûts, leurs loisirs, … « L’agrégation de données en provenance de diverses bases de données permettra de déduire avec un taux de 89% de certitude que la composition de tel panier d’achat par un consommateur se présentant dans une grande surface à telle heure de la journée induit le fait que cette personne est vraisemblablement célibataire, amateur de voyages lointains et fraudeur potentiel »14. Les annonceurs, pour obtenir ce genre d‟informations, devraient systématiquement demander le consentement exprès des consommateurs ; or c‟est le genre d‟informations que peu de gens acceptent de donner dans une optique « marketing ». Les gens, à juste titre, refusent de donner ces informations à n‟importe qui ; surtout aux annonceurs. Alors que les choses sont différentes pour les réseaux sociaux ; les internautes donnent leurs informations parce qu‟ils le décident, le veulent. Même s‟ils ont une faible conscience de ce qu‟ils donnent, ils le font volontiers. C‟est alors du pain béni pour les annonceurs. Le rachat de ces informations représente un enjeu important pour les publicitaires. En effet, plutôt que de lancer des campagnes publicitaires à grande échelle pour qu‟un maximum de gens soit touché, il revient nettement moins cher de cibler la publicité. C'est-àdire que sur chaque page d‟un utilisateur d‟un réseau social, la publicité correspondra tout à fait à ses goûts et la publicité est alors plus susceptible de l‟intéresser. Si le profilage a montré qu‟un utilisateur était passionné de cinéma, les fabricants de télévisions souhaiteront diffuser une publicité sur sa page plutôt que de diffuser une publicité sur la page d‟un autre utilisateur qui affirme ne pas regarder la télévision. L‟annonceur est gagnant à tous points de vue : il économise de l‟argent sur la campagne publicitaire et il récupère plus de clients du fait du ciblage. 14 POULLET (Y.), « La loi des données à caractère personnel : un enjeu fondamental pour nos sociétés et nos démocraties ? », Légicom, n°42, 2009. 21 Cela pose le problème du droit à l‟oubli. En effet, un internaute doit pouvoir rectifier ou supprimer des données. Et lorsqu‟un internaute souhaite supprimer ses données, le responsable du traitement ne doit pas conserver celles-ci au-delà de la durée nécessaire15. Le problème est que, si on se désinscrit d‟un réseau social, le réseau social supprime nos données. Le fait est que les données ont déjà été vendues ou partagées à beaucoup d‟autres personnes avec le soidisant accord de l‟intéressé pour qui il est impossible de retrouver toutes les personnes qui sont en possession de ses données personnelles. Les données personnelles d‟un individu sont alors à la libre disposition de tous. En effet, dans la mesure où il n‟y a plus aucun moyen d‟identifier qui dispose des données personnelles d‟une personne, ces données peuvent être vendues et traitées comme bon le semble au responsable du traitement. Si elles circulent en toute illégalité, il est quasiment impossible de le contrôler. Le droit à l‟oubli parait alors obsolète… B- Le développement important des publicités ciblées. À titre d‟exemple assez représentatif, la politique de confidentialité de Facebook stipule que « Facebook peut utiliser les données de votre profil sans vous identifier en tant qu’individu au profit des tiers. Ces données nous permettent notamment d’estimer le nombre de gens au sein de votre réseau qui aiment tel ou tel morceau de musique ou tel film, ou encore en vue de personnaliser les publicités et promotions que nous vous proposons sur Facebook. Nous pensons que c’est à votre avantage. En effet, vous en apprendrez plus sur celles et ceux qui vous entourent et les publicités éventuelles seront ainsi plus ciblées et davantage susceptibles de vous intéresser. À titre d’exemple, si vous indiquez votre film préféré dans votre profil, nous pourrions vous proposer l’affiche ou la bande annonce d’un film similaire dans votre ville ». Si la volonté d‟établir des statistiques apparaît justifiée et légitime, le ciblage de la publicité pour notre bien-être l‟est un peu moins. Les annonceurs, à partir de l‟incalculable quantité d‟informations, ont alors pu développer des techniques telles que le « one to one marketing » et l‟« adaptive pricing ». Le « one to one marketing » ou le marketing individualisé permet de s‟adresser de manière individualisée et personnalisée à chaque client potentiel en fonction de son profil. 15 L‟article 6 4° et 5° de la loi de 1978 modifiée disposent que les données personnelles « sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées » et qu‟elles « sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées ou traitées ». 22 L‟« adaptive pricing » consiste à adapter le prix proposé par l‟annonceur en fonction de « l‟appétit » d‟achat du client potentiel. Par ailleurs, certains réseaux sociaux comme Facebook par exemple, proposent aux utilisateurs, ou annonceurs professionnels, de créer leur publicité directement sur le site. Le prix minimum étant d‟un dollar par jour ; chacun pouvant alors créer sa publicité. Nul besoin d‟être professionnel, c‟est ouvert à tous. Le réseau propose alors de cibler la diffusion de la publicité sur des critères « démographiques et psychographiques ». Ces techniques sont très utiles et terriblement efficaces. « Big Brother is watching 16 you » . Selon les réseaux, c‟est avant tout le confort de l‟utilisateur qui est favorisé par ces techniques. La publicité sur nos profils est la contrepartie du service offert pas les hébergeurs, on ne peut la refuser, alors autant que cette publicité soit « intéressante ». La référence à Big Brother « entend traduire la puissance que le traitement de l’information donne à nos sociétés responsables du traitement face à des personnes concernées, qu’elles soient citoyennes, employées ou consommateurs, de plus en plus transparentes au regarde de ce “Big Brother” qui entend normaliser nos comportements pour notre bien à chacun »17. La précision dans la politique de confidentialité que les données sont utilisées sans pour autant nous identifier en tant que personne ne les rend pas moins personnelles. En effet, selon le groupe de l‟article 2918, les données sont à caractère personnel dans trois situations : la première est celle de contenu : l‟information a directement trait à une personne particulière et est communiquée indépendamment de toute finalité de la part du responsable du traitement ou de l‟impact que cette information sur la personne concernée. La deuxième est la finalité : les données sont utilisées ou susceptibles d‟être utilisées afin d‟évaluer, de traiter d‟une certaine manière ou d‟influer sur le statut ou le comportement de la personne. Par exemple, la valeur d‟une maison : si celle-ci est utilisée afin de déterminer les prix moyens dans un quartier, ce n‟est pas une donnée à caractère personnel. En revanche si elle est utilisée par l‟administration fiscale pour évaluer le patrimoine de la personne, alors c‟est une donnée à caractère personnel. En l‟espèce, par exemple, si les données sont utilisées à des simples fins statistiques, elles ne seront pas considérées comme personnelles. 16 17 ORWELL (G.), « 1984 », Gallimard, 1950. POULLET (Y.), « La loi des données à caractère personnel : un enjeu fondamental pour nos sociétés et nos démocraties ? », Légicom, n°42, 2009. 18 Groupe de l‟article 29, « Avis 4/2007 sur le concept de données à caractère personnel », http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_fr.pdf, le 24 janvier 2009. 23 Et enfin, la troisième condition est le résultat : l‟utilisation des informations est susceptible d‟avoir un impact sur certains droits et intérêts de la personne. Le fait de ne pas identifier l‟individu pour lui envoyer une publicité personnalisée n‟empêche donc pas la qualification de la donnée en donnée à caractère personnel. En effet, la finalité du traitement étant justement de traiter différemment la personne en fonction de ces données par rapport aux autres en leur envoyant des messages personnalisés, elle répond aux conditions posées par le groupe de l‟article 29. L‟enjeu majeur que représente les données personnelles pour les réseaux sociaux n‟est pas sans poser des difficultés juridiques importantes. 24 CHAPITRE 2 - LE TRAITEMENT INTERNATIONAL DES DONNÉES : D’IMPORTANTES DIFFICULTÉS JURIDIQUES. La majorité des grands réseaux sociaux ont leur siège aux États-Unis. La collecte est alors effectuée en France mais sont immédiatement transférées aux États-Unis pour le reste du traitement. On se retrouve alors face à une difficulté : les systèmes de protection étant différents (section 1), les internautes ont tendance à privilégier les réseaux auxquels la loi française ou européenne est applicable. Mais dans la majeure partie des cas, on se retrouve face à une difficile détermination de la loi applicable (section 2). Section 1 - Des modèles de protection radicalement différents. Il convient dans un premier temps d‟étudier le régime applicable en France (§1) puis le régime applicable aux États-Unis (§2). §1 Ŕ France : un imbroglio de textes nuisant à l‟efficacité de la protection. Le régime applicable au traitement des données personnelles est issu de plusieurs sources (A.). Cette multiplicité des sources entraine une situation chaotique, traduite par une jurisprudence peu efficace (B.). A- Une multiplicité des sources. On distingue 3 sources essentielles en matière de traitement de données personnelles : la loi de 1978 modifiée, le code pénal, et le code des postes et des communications électroniques. L‟essentiel du régime juridique est mis en place par la loi de 1978 modifiée, dans son chapitre II sur les conditions de licéité des traitements de données à caractère personnel. L‟article 6 dispose que « les données sont collectées et traitées de manière loyale et licite ; elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. […] Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; elles sont exactes, complètes et, si nécessaire, mises à jour ; […] elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées ou traitées ». L‟article 7 dispose à son tour que « un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ». Et enfin, l‟article 8 dispose que « il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » sauf si les données ont été rendues publiques par la personne concernée (ce qui est le cas en matière de réseaux sociaux). À noter que les traitements automatisés de données à caractère personnel doivent faire l‟objet d‟une déclaration auprès de la CNIL. Le consentement est facilement mis en avant par les hébergeurs dans la mesure où c‟est l‟utilisateur qui choisit quelles informations il livre. Mais les réseaux pratiquent la technique de 26 l‟opt-out, c'est-à-dire que les informations sont mises en ligne par défaut et c‟est alors l‟internaute qui va devoir choisir quelles informations seront cachées. Une véritable protection, plus efficace, passe par la mise en place d‟un système d‟opt-in qui consiste à ne pas publier les informations de l‟internaute sauf si celui-ci fait le choix exprès de les publier. L‟opt-out a par ailleurs fait l‟objet d‟une résolution lors de la 30ème conférence internationale des commissaires à la protection des données et de la vie privée stipulant que l‟opt-out devrait être au minimum garanti pour les informations non-sensibles et que l‟opt-in devait être mis en œuvre pour les données dites sensibles et les données de connexion. En outre, l‟article 32 dispose que « la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée […] de l’identité du responsable du traitement […] ; de la finalité poursuivie par le traitement auquel les données sont destinées ; du caractère obligatoire ou facultatif des réponses […] ; des destinataires de données ». La question est alors posée du respect de cette dernière obligation par les hébergeurs. En effet, il est difficilement vérifiable par l‟internaute les véritables destinataires de ses données et il est alors facile pour les hébergeurs de citer une finalité et des destinataires précis dans les conditions générales d‟utilisation et de ne pas respecter celles-ci. Ceci est complété par l‟article L226-21 du code pénal qui dispose que « le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité » et l‟article 226-22, du même code, qui réprime « le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir ». Les différentes infractions pénales correspondant sont alors pour une partie, codifiées aux articles L226-16 à L226-24 et R625-10 à R625-13 du code pénal et pour l‟autre partie au chapitre VII (« dispositions pénales ») de la loi de 1978 modifiée. Notamment l‟article 226-181 du code pénal sanctionne « le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale ». La question se pose alors de la licéité des publicités ciblées. En effet des données sont récupérées à des fins commerciales et publicitaires sans que l‟internaute ne le sache systématiquement ; car, si dans les conditions générales d‟utilisation, il 27 est souvent fait référence à une éventuelle utilisation commerciale des données, l‟internaute n‟a pas toujours conscience des données qu‟il livre sur le web. Notamment les données de navigation. Il n‟a en outre, en général, aucune possibilité de s‟opposer au traitement de ses données à des fins commerciales. La seule solution est la non-adhésion au réseau. Le fait d‟utiliser de telles données dans un but commercial semble alors totalement prohibé par la loi. Là encore, il est difficile de déterminer exactement quelles données sont utilisées par le réseau, et la jurisprudence en la matière est inexistante. En outre, le simple fait d‟accepter les conditions générales d‟utilisation et par ailleurs la politique de confidentialité d‟un réseau social (lorsque la loi française y est applicable) n‟est pas synonyme systématiquement de consentement à l‟exploitation de ces données dans la mesure où les dispositions sont souvent contradictoires. Par exemple, les conditions générales de Viadéo, réseau social de droit français, stipulent que « toutes les précautions ont été prises pour archiver vos informations dans un environnement sécurisé. Les informations vous concernant saisies par vos soins ne seront jamais transmises à un tiers, ni vendues ou échangées. ». Et pourtant, à l‟article suivant, les mêmes conditions stipulent que « Viadéo bénéficie d’une licence d’utilisation des droits de propriété intellectuelle attachés aux contenus fournis par les membres aux fins de diffusion sur le site www.viadeo.com. Cette licence comprend notamment le droit pour Viadéo de reproduire, représenter, adapter, traduire, numériser, utiliser à des fins publicitaires, commerciales ou non commerciales, de souslicencier ou de céder les contenus vous concernant (informations, description, etc.) ». Les deux articles se contredisant, il apparaît plus logique de penser que le second article est celui qui s‟applique réellement. Que penser alors du premier qui semble être déloyal (dans la mesure où il laisse penser à l‟utilisateur que le réseau est le seul à avoir connaissance de ses données, ce qui est faux) vis-à-vis de l‟utilisateur ? La jurisprudence est inexistante en la matière. Enfin, les hébergeurs de réseaux sociaux doivent se soumettre aux règles édictées par les articles L34-1 à L34-6 du code des postes et des communications électroniques concernant la « protection de la vie privée des utilisateurs de réseaux et services de communications électroniques ». L‟article L34-1 II., notamment, dispose que « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire d'informations, il peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques ». Cet article porte donc a un an la durée maximale de conservation des données personnelles. Au-delà, la conservation des données d‟un utilisateur qui s‟est désinscrit du réseau social est illicite. La volonté originelle de 28 Facebook de s‟octroyer une licence ad vitam eternam sur les données des utilisateurs paraissait donc totalement illégale au regard du code des postes et des communications électroniques. Les données personnelles sont a priori bien protégées par le droit français qui prend en compte un grand nombre de possibilités. Malheureusement, la désorganisation des différentes règles à tendance à nuire à leur application dans la mesure où il est difficile de s‟y retrouver parmi tous les différents textes. Cela se ressent sur la jurisprudence. B- Une jurisprudence peu efficace. Tout d‟abord, la jurisprudence en la matière est très peu importante. Très peu d‟affaires sont portées devant les juges en raison des difficultés de preuves des infractions commises par les responsables de traitements automatisés de données et de la méconnaissance des différents textes juridiques. En effet, il n‟est pas évident de savoir quel sort est réellement réservé aux données personnelles des réseaux sociaux ; il est a fortiori difficile de suivre le chemin qu‟emprunte ces données (entre les mains de qui elles passent, dans quelles bases de données elles sont conservées). Il est de ce fait quasiment impossible de recueillir tous les éléments nécessaires pour saisir un juge (civil ou pénal). Ensuite, les dispositions pénales sont particulièrement sévères. Par exemple, le fait d‟effectuer un traitement sans le déclarer préalablement à la CNIL (même par négligence) est puni de 5 ans d‟emprisonnement et de 300 000 € d‟amende. Plus largement, la quasi-totalité des infractions est punie de 5 ans d‟emprisonnement et de 300 000 € d‟amende19. Ce qui, aux yeux des juridictions pénales, apparaît comme excessif. Le résultat est que très peu de jugements de condamnation sont pris et s‟ils le sont, ils condamnent à de faibles peines, le plus souvent symboliques. La CNIL apparaît alors comme étant la seule réelle « menace » pesant sur les responsables de traitements automatisés de données dans la mesure où elle a la possibilité d‟adresser des mises en demeure aux dits responsables ainsi que des avertissements et des sanctions financières (ces deux dernières sanctions étant quantitativement faibles)20. En effet, si le responsable de traitement automatisé de données ne risque rien à enfreindre la loi, pourquoi s‟en empêcher ? La possibilité alors pour la CNIL de prendre quelques sanctions ne peut qu‟améliorer l‟application de la loi de 1978 modifiée et des dispositions pénales relatives. Car on remarque en effet que les juridictions pénales et la CNIL 19 20 Articles 226-16 à 226-24 du code pénal. Article 45 de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. 29 sont souvent en désaccord. L‟exemple en est de la qualification juridique de l‟adresse IP. La CNIL considère sans hésitation qu‟il s‟agit d‟une donnée à caractère personnel ; les juridictions pénales (et civiles) sont encore divisées sur la question, certaines considérants que l‟adresse IP identifie un ordinateur et non une personne ; et qu‟elle ne répond donc pas à la définition légale d‟une donnée à caractère personnel. La CNIL est en règle général plus protectrice des données personnelles que les juridictions pénales. Si la CNIL est efficace, ceci est relatif : encore faut il qu‟elle ait une quelconque autorité sur le responsable du traitement. §2 Ŕ États-Unis : une absence de mesures de protection des données. Les grands réseaux sociaux, ceux qui connaissent un succès international, sont établis aux États-Unis. De nombreux réseaux sociaux sont situés partout à travers le globe, mais il est impossible dans le cadre de notre étude d‟examiner tous les régimes de protection des données personnelles (quand ils existent). Aux États-Unis donc, les institutions fédérales ont tenté d‟adopter des projets sur la question : tous ont échoués (A.). Il faut donc compter sur la volonté des États individuellement pour mettre en place un régime de protection. Cette absence de textes entraine une différence notable entre les systèmes de protections (B.). A- Des projets au niveau fédéral. Le système américain ne consacre pas de grands principes en matière de protection de la vie privée. L‟absence de véritable protection des données personnelles a conduit certains parlementaires à proposer des lois en vue d‟améliorer cette protection. Début 2007, deux sénateurs américains ont introduit un projet de loi qui obligeait les entreprises à prévenir les forces de l‟ordre si une faille dans la sécurité des systèmes de données privées et personnelles, offrait, aux personnes concernées, un droit d‟accès et de rectification des données les concernant, et soumettait les entreprises à l‟obligation de contrôler leurs systèmes de protection des données. Ce projet a échoué. Le lobbying des grandes (et moins grandes) entreprises américaines, ravies de n‟être soumises à aucune obligation concernant les données personnelles de leurs clients, est trop important. Aucun autre projet au niveau fédéral n‟a été proposé car ils ne présentent aucune chance d‟aboutir. Au niveau étatique, il y eut quelques initiatives plus fructueuses. L‟État de Californie est précurseur en la matière. Le Security Breach Information Act (loi relative à l‟information sur les failles de sécurité), entré en vigueur le 1er juillet 2003 oblige les entreprises à informer 30 les utilisateurs de toute failles dans la sécurité du système pouvant avoir entrainé l‟acquisition non autorisée de données informatiques compromettant la sécurité, la confidentialité ou l‟intégrité des données personnelles contenues dans leurs fichiers. Cette loi a été adoptée dans le but d‟enrayer les conséquences de l‟explosion des usurpations d‟identité dans la mesure où à l‟époque, le ministère de la Justice estimait à 700 000 le nombre de personnes victimes d‟un vol d‟identité. Cette loi reste une des rares adoptées aux États-Unis, les sociétés restant réfractaires à ce genre de mesures. Pour exemple, Facebook est établi en Californie, les tribunaux californiens sont compétents en cas de litiges. Mais, en raison de la législation californienne, Facebook a choisi d‟appliquer le droit de l‟État du Delaware qui lui n‟a pris aucune mesure quant à la protection des données personnelles. Mais l‟idée commence à se développer et on remarque tout de même des tentatives. Dans l‟État de New-York (dans lequel est notamment établi le plus important réseau social des États-Unis : MySpace), début 2008, a été déposé un projet de loi interdisant les responsables de traitement de données personnelles à vendre ou utiliser les dites données sans autorisation. Les techniques de publicités ciblées sont évidemment concernées par cette loi. Le sénateur Brodsky, à l‟origine de ce projet, a dit : « en fin de compte, je n’ai pas d’objection philosophique à ce ciblage, si c’est fait avec une permission. Mais il est clair que pour le moment les gens ne comprennent pas ce qu’ils donnent ». Cette loi n‟a pas été votée en raison notamment d‟un fort lobby de Google et Yahoo. Mike Zaneis, vice président des questions de vie privée à Interactive Advertising Bureau, qui représente notamment Google et Yahoo, considère que « le ciblage publicitaire comportemental n’a montré aucun danger, cette précipitation à règlementer Internet est donc vraiment inutile » et que ce projet de loi porterait atteinte au modèle économique du web (dépendant en grande partie de la publicité). Il est vrai que le ciblage et le profilage des internautes ne représente en lui-même aucun danger si ce n‟est une remise en cause radicale d‟un droit fondamental de l‟internaute : le droit à la vie privée. On ne trouve alors pour le moment aucune réelle mesure de protection aux États-Unis, uniquement des lois adoptées ici et là et étant loin d‟offrir un système de protection comparable au système européen. 31 B- Une distorsion importante des systèmes de protection. Le commerce électronique sur internet a toujours été source de méfiance pour les consommateurs. Les entreprises américaines, même en l‟absence de législation, ont bien compris que la mise en place d‟un minimum de protection était nécessaire pour que les internautes utilisent leurs services. Cela a conduit à la mise en place de sceaux électroniques (apparus pour la première fois aux États-Unis) consistants en quelque sorte en des labels de qualité de protection. L‟un des plus importants est TRUSTe qui se décrit comme étant « une organisation indépendante, sans but lucratif dont la mission est de contribuer à ce que les utilisateurs aient confiance en internet en favorisant des pratiques justes s’agissant de l’utilisation des informations ». Facebook a adhéré à ce label. La quasi-totalité de ces labels sont américains. Ces labels sont en réalité des marques. Les sociétés adhérentes de ces labels peuvent apposer la marque du label sur leurs documents officiels, afin de montrer aux utilisateurs qu‟elles se soumettent à un système de protection. C‟est un système d‟autorégulation, tout à fait louable, mais donc la réelle qualité et portée reste discutable. « Dans un esprit américain, assez éloigné des règlements et mentalités européennes, leur objet est pour l’essentiel de garantir que le site web a une politique sur les données personnelles et que cette politique fait l’objet d’une publication »21. Le système de protection alors mis en place est assez faible, voire quasi-inexistant, mais l‟utilisateur se sent en confiance. De plus, cela ajoute à l‟image de marque de l‟entreprise. Quelle confiance alors porter aux labels américains ? La France a tenté de mettre en place des labels mais aucun n‟a réellement percé. Évidemment, les labels français ont des exigences bien plus importantes que les labels américains, ce qui explique leur faible popularité. Le fossé est alors creusé entre une législation française et européenne surprotectrice qui n‟abouti au final qu‟a une faible répression et une législation américaine quasi-inexistante. Il apparaît alors que, quelle que soit la loi applicable, la protection des données à caractère personnel reste relative et rien n‟assure de la bonne foi des responsables de traitement, quelle que soit leur nationalité… 21 BELLEIL (A.), « La régulation économique des données personnelles ? », Légicom, n°42, 2009. 32 Section 2 - Une délicate détermination de la loi applicable. En l‟absence de règle commune, la jurisprudence semble avoir opté pour une solution peu simple en pratique : à chaque étape, sa loi. Tout dépend du lieu de traitement (§1). Heureusement, les États-Unis et l‟Europe ont collaborés pour la mise en place d‟un programme de protection : le Safe Harbor (§2). §1 Ŕ Un régime juridique différent pour chaque étape du traitement de données. La loi de 1978 modifiée semble régler la question dans la mesure où celle-ci définit elle-même son champ d‟application. L‟article 5 de la loi dispose que « sont soumis à la présente loi les traitements de données à caractère personnel : 1°dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ; 2° dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne ». Et pourtant, dans le cadre de la mondialisation actuelle, la détermination de la loi applicable à un traitement ou à un responsable de traitement n‟est pas si nette. Il convient dans un premier temps de rappeler les règles de droit international privé applicables en la matière (A.), et dans un second d‟étudier la solution retenue par la jurisprudence française (B.). A- Application du droit international privé. En droit international privé, est reconnue une règle essentielle : le libre choix des parties. Les parties disposant d‟un libre choix quant à chacun des éléments du contrat, ils disposent d‟un libre choix également en ce qui concerne la loi applicable. Cette règle est notamment consacrée par la convention de Rome du 19 juin 198022. 22 Convention sur la loi applicable aux obligations contractuelles, ouverte à la signature à Rome le 19 juin 1980, in JOCE C 27 du 26 janvier 1998. 33 Les conditions générales d‟utilisation des réseaux sociaux précisant généralement quelle loi est applicable aux dites conditions, l‟utilisateur est alors libre de conclure le contrat ou pas. Évidemment, la loi choisie par les hébergeurs est celle de leur établissement c'est-à-dire la loi américaine (variant selon les États ; par exemple Facebook a choisi la loi de l‟État du Delaware alors que MySpace applique la loi de l‟État de New York). La convention de Rome prévoit tout de même quelques exceptions. En effet, la convention prévoit que « le choix par les parties de la loi applicable ne peut avoir pour résultat de priver le consommateur de la protection que lui assurent les dispositions impératives de la loi du pays dans lequel il a sa résidence habituelle : si la conclusion du contrat a été précédée dans ce pays d’une proposition spécialement faite ou d’une publicité, et si le consommateur a accompli dans ce pays les actes nécessaires à la conclusion du contrat ou si le cocontractant du consommateur ou son représentant a reçu la commande du consommateur dans ce pays ou si le contrat est une vente de marchandises et que le consommateur se soit rendu de ce pays dans un pays étranger et y ait passé la commande, à la condition que le voyage ait été organisé par le vendeur dans le but d’inciter le consommateur à conclure une vente »23. Pour que cet article soit applicable, il faut tout d‟abord être en présence d‟un contrat de consommation, défini par la convention comme étant un contrat dont l‟objet est la fourniture d‟un objet ou d‟un service à un consommateur pour un usage étranger à son activité professionnelle. Dans le cadre des réseaux sociaux, les conditions générales d‟utilisation, et a fortiori les politiques de confidentialité, peuvent tout à fait s‟analyser en une fourniture de service à un consommateur dès lors que celui-ci agit hors de la sphère professionnelle. Dans ce cadre, la loi du libre choix ne s‟applique pas et c‟est la loi du lieu de résidence de l‟utilisateur qui est amenée à s‟appliquer. La législation française relative à la protection des données personnelles est alors applicable pour les utilisateurs français des réseaux sociaux dans la mesure où des clauses du contrat de consommation sont relatives à la protection des données personnelles. Or, tel le système de protection des données personnelles, le droit de la consommation français diffère du droit américain, et les clauses édictées en vertu de la législation relative à la protection des données à caractère personnel ou du droit de la consommation américain ne sont pas toujours en adéquation avec le droit français. En effet, le droit américain est bien moins protecteur du consommateur que l‟est le droit français, ce qui abouti à trouver, parmi les 23 Article 5 de la Convention sur la loi applicable aux obligations contractuelles du 19 juin 1980. 34 conditions générales d‟utilisation et les politiques de confidentialité, quelques clauses pouvant être qualifiées, au regard du droit français, d‟abusives. En droit français, est une clause abusive, une clause créant un déséquilibre significatif entre les droits et obligations des parties au contrat24. Ce contrat doit être conclu entre un professionnel et un consommateur ou un non-professionnel. Le consommateur est celui qui conclu en dehors de toute activité professionnelle ; le non professionnel est celui qui agit dans le cadre de son activité professionnelle mais hors de sa sphère de compétence. Ce qui laisse penser que tout utilisateur de réseau social est « consommateur » dans la mesure où il crée un profil pour des raisons privées et « non professionnel » dans la mesure où il le fait pour des raisons professionnelles (la recherche d‟un emploi par exemple) mais que cela ne relève pas de son domaine de compétence. Le code de la consommation a par ailleurs établi une liste non exhaustive de clauses pouvant être considérées comme abusives. Il se trouve qu‟en parcourant quelques conditions générales de réseaux sociaux (y compris celles de réseaux établis en France) on retrouve beaucoup de clauses abusives. Par exemple, tous les réseaux se réservent la possibilité de modifier les termes du contrat à n‟importe quel moment (sans en préciser la raison) ; c‟est alors au consommateur de lire régulièrement le contrat pour prendre connaissance des modifications et résilier son compte si les modifications ne lui conviennent pas. Si la loi de 1978 modifiée, n‟entre pas dans le champ du droit de la consommation, des clauses présentes dans les conditions générales d‟utilisation des réseaux sociaux et dans les politiques de confidentialité de ceux-ci peuvent tout à fait établir un déséquilibre relatif aux données personnelles de l‟utilisateur. Une clause relative aux données personnelles de l‟utilisateur pourrait alors être déclarée comme abusive, être annulée, et la loi de 1978 modifiée pourrait alors trouver à s‟appliquer en l‟absence de détermination de la loi applicable. Les clauses abusives sont alors considérées comme non écrites. Il convient alors de s‟interroger sur la portée d‟une telle annulation sur la validité du contrat. En effet, si la clause est considérée par les parties comme un élément essentiel du contrat, la suppression de celle-ci entraine la caducité du contrat. Si au contraire, le contrat peut perdurer en l‟absence de la clause, alors cela n‟entame rien les relations contractuelles. Cela dépendra donc du cas par cas, 24 Article L 132-1 du code de la consommation qui dispose que « dans les contrats conclus entre professionnels et non-professionnels ou consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au détriment du non-professionnel ou du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat ». 35 selon la volonté des parties. Si l‟annulation d‟une clause abusive entraine la nullité du contrat, le droit français est amené à s‟appliquer dans sa totalité. Mais là encore, les conditions générales d‟utilisation des réseaux sociaux se contredisent. Prenons l‟exemple de MySpace (il s‟agit d‟un exemple mais cela est représentatif de ce qui se lit dans la grande majorité des conditions d‟utilisation des réseaux sociaux). Une des dispositions dispose que « chacune des parties aux présentes renonce à tout droit qui pourrait être le sien à un procès devant jury par rapport à tout litige (incluant, mais sans toutefois s’y limiter toute demande, demande reconventionnelle, demande entre défendeurs ou demande de tierce personne) résultant de ou en relation avec les présentes conditions d’utilisation. […] Chacune des parties reconnait que cette section représente une condition essentielle pour l’autre partie contractante à la conclusion de présent contrat ». Cette précision finale tend à laisser penser qu‟en cas de suppression de cette clause, l‟exécution du contrat serait compromise. En effet, si sans cette clause, à l‟origine, le contrat n‟aurait pas été conclu, si cette clause est une condition sine qua non du consentement des deux parties, son annulation entraine la caducité du contrat. Et pourtant, un peu plus loin, dans les mêmes conditions, est précisé « si une clause quelconque des ces Conditions d’Utilisation est illégale, nulle ou non opposable, cette clause sera réputée non écrite et n’aura aucune conséquence sur la validité et l’opposabilité des autres clauses ». Il est alors difficile de déterminer la portée de l‟annulation de clauses abusives. Il est par ailleurs surprenant de rédiger dans un contrat le fait qu‟il est envisageable qu‟une des dispositions soit « illégale »… En outre, une clause n‟est abusive que si un juge (civil) est saisi et déclare la clause abusive. Sans cette action, l‟ensemble des clauses du contrat continue à s‟appliquer mêmes si celles-ci sont abusives. Actuellement, aucun juge n‟a été saisi d‟une telle demande en France. Les conditions générales d‟utilisation et les politiques de confidentialité sont donc entièrement applicables, malgré leur éventuelle illicéité. Cette solution, en ce qui concerne l‟application de la loi de 1978 modifiée en cas de contrat avec un consommateur, n‟est pas celle retenue par la jurisprudence française, comme nous le verrons plus loin. En ce qui concerne les clauses attributives de compétence que l‟on trouve dans toutes les conditions générales d‟utilisation, leur validité est discutable. En effet, chaque hébergeur choisi que seuls les tribunaux de son État seront compétents. L‟article 23 du Règlement de 36 Bruxelles25 du 22 décembre 2000 qui dispose que « Si les parties, dont l'une au moins à son domicile sur le territoire d'un État membre, sont convenues d'un tribunal ou de tribunaux d'un État membre pour connaître des différends nés ou à naître à l'occasion d'un rapport de droit déterminé, ce tribunal ou les tribunaux de cet État membre sont compétents. Cette compétence est exclusive, sauf convention contraire des parties. Cette convention attributive de juridiction est conclue : par écrit ou verbalement avec confirmation écrite, ou sous une forme qui soit conforme aux habitudes que les parties ont établies entre elles, ou dans le commerce international, sous une forme qui soit conforme à un usage dont les parties avaient connaissance ou étaient censées avoir connaissance et qui est largement connu et régulièrement observé dans ce type de commerce par les parties à des contrats du même type dans la branche commerciale considérée. Toute transmission par voie électronique qui permet de consigner durablement la convention est considérée comme revêtant une forme écrite ». Il est considéré en doctrine que la conclusion de conditions en ligne contenant une clause attributive de juridiction sera valable si les conditions sont confirmées par l‟envoi d‟un courrier électronique, dans la mesure où il s‟agira d‟une information consultable ultérieurement sur le disque dur de l‟ordinateur de l‟utilisateur. En revanche le seul affichage à l‟écran des conditions est insuffisant. Il s‟agit pourtant de cette dernière méthode qui est employée par les réseaux sociaux. Les conditions générales d‟utilisations ne sont consultables que sur leur site internet. La validité des clauses attributives de compétence est donc remise en cause même si aucun juge ne s‟est clairement prononcé sur cette question. De façon tacite, les tribunaux français semblent d‟accord avec cette doctrine puisqu‟ils se sont reconnus compétents pour les affaires concernant les réseaux sociaux dont ils ont été saisis. Il en va différemment pour ce qui est de la loi applicable. Si la détermination est toujours claire dans les conditions générales d‟utilisation, l‟application qu‟en fait la jurisprudence est plus nuancée. À noter, que dans ce cas aussi, il n‟existe quasiment aucune jurisprudence ; il est donc difficile de déterminer quelle est la véritable position des juges en la matière. 25 Règlement de Bruxelles n°44/2001 du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l‟exécution des décisions en matière civile et commerciale, in JOCE L 12, 16 janvier 2001. 37 B- À chaque action son régime juridique. Une réponse a été donnée par une ordonnance de référé du tribunal de grande instance de Paris en date du 14 avril 200826. Dans cette affaire, une utilisatrice française de « Usenet » (service proposé par Google permettant la création et la participation à de nombreux forums de discussion) s‟en était retirée depuis près de 10 ans lorsqu‟elle s‟est rendue compte que certains messages qu‟elle avait écrit étaient toujours disponibles sur le site. Elle a alors saisi le TGI de Paris pour violation des articles 6 et 7 de la loi de 1978 modifiée. Ceux-ci disposent notamment que les données « sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». La plaignant considérait alors, contrairement à la société Google, que 10 ans était une durée de conservation excessive au regard de la finalité du traitement. La société Google se défend alors en précisant que la société Google France n‟administre rien et n‟est en aucun cas responsable du traitement ; c‟est la société mère Google Inc., société de droit californien, qui est responsable du traitement. De ce fait elle n‟est pas soumise à la loi de 1978 modifiée mais à la loi californienne ; loi qui, malgré un minimum de protection, ne pose aucune condition de durée de conservation des données personnelles. La plaignante a alors souhaité qualifier la loi de 1978 modifiée comme loi de police au sens du droit international privé c'est-à-dire une loi dont l‟application est directe et ne passe pas par le mécanisme de la règle des conflits de loi. Le juge affirme qu‟il faudrait alors « considérer l’application de la loi française comme s’imposant sans contestation possible pour la sauvegarde de l’organisation socioéconomique de notre communauté internationale » et que « la seule circonstance tenant au fait que le défaut de respect de certaines de ses dispositions soit sanctionné pénalement ne permet pas d’évidence de retenir le caractère impératif de son application à la situation considérée ». La société étant de droit californien, l‟archivage des données s‟effectuant en Californie et la loi californienne offrant une protection équivalente à la loi française : la société Google n‟était pas en tort puisqu‟elle respectait la loi californienne ; en outre la société mettait à disposition des utilisateurs un moyen de supprimer eux-mêmes les messages qu‟ils avaient publiés. 26 Tribunal de Grande Instance de Paris, Ordonnance de référé du 14 avril 2008, Bénédicte S. / Google Inc., Google France. 38 En l‟espèce la juge a donc choisi la loi du lieu du fait générateur. En l‟espèce, c‟est l‟archivage des données qui était en cause, l‟archivage se faisant en Californie, c‟est la loi Californienne qui s‟applique. À partir de là, on peut penser que cette solution est applicable à chaque étape du traitement. Chaque étape du traitement dépend d‟un régime juridique différent selon sa localisation. Ce qui n‟est pas sans poser quelques difficultés. En effet, il est difficile pour l‟utilisateur d‟un réseau de connaître le cheminement que va prendre les données qu‟il confie ; il ne sait donc pas quel sort leur est réservé. En outre, les systèmes de protection variant d‟un pays à l‟autre, lors de la collecte (se faisant la plupart du temps en France), l‟utilisateur peut accepter d‟être soumis au droit français mais ensuite il ne peut s‟opposer au traitement de ses données dans un pays étranger offrant une protection des données à caractère personnel moindre que le droit français. Il est par ailleurs peu souvent au courant des différentes législations applicables. Dans la mesure où l‟utilisateur ne connait pas le droit applicable dans chaque pays de traitement, qu‟il ne connait pas les lieux où seront traitées ses données et que de ce fait il ne peut rattacher un système de protection au traitement, son acceptation résultant de la simple adhésion aux conditions générales d‟utilisation est alors difficilement constitutive d‟un consentement éclairé. Cette acceptation alors donnée lors de l‟adhésion aux conditions générales d‟utilisation ne répond pas à l‟exigence légale d‟un consentement au traitement des données. De ce fait, le traitement serait considéré comme illicite… Cette décision reste cependant d‟une portée faible dans la mesure où il s‟agit d‟une ordonnance de référé et que l‟affaire n‟a pas été jugée au fond. Il peut en effet être contesté le fait que le juge considère la loi californienne comme « équivalente » à la loi française. Comme étudié précédemment, la protection californienne est bien moins complète que la protection européenne et n‟intervient que sur une partie de la protection des données. Elle ne met à la charge des entreprises qu‟une obligation d‟information au profit des utilisateurs en cas d‟atteinte à la sécurité du système de protection. En aucun cas elle ne prend en compte tous les cas dans lesquels les données doivent être protégées. En revanche, en l‟espèce, la société Google était adhérente du Safe Harbor, ce qui peut laisser penser que le juge s‟est basé sur ce point pour déclarer la protection « équivalente » à celle du droit français. 39 §2 Ŕ Safe Harbor : outil essentiel de collaboration internationale. Face à l‟inquiétude des internautes et des autorités européennes, le ministère du commerce américain a mis en place ce programme (A.) offrant une protection plus complète des données personnelles traitées aux États-Unis (B.). A- Présentation du Safe Harbor. La directive du 24 octobre 1995 relative à la protection des données personnelles dont l‟article 25-1 exige qu‟une « protection adéquate » des données personnelles doit être assurée avant tout transfert de ces dernières vers un pays non membre de l‟Union européenne. La législation américaine n‟offrant pas cette protection, il aurait été impossible pour les compagnies américaines de transférer les données dans leur pays. Le ministère du commerce américain a alors entamé des négociations avec la Commission européenne afin de respecter la disposition de la directive sans pénaliser les entreprises américaines. Le résultat de ces négociations est le programme appelé « Safe Harbor », traduit officiellement par la Commission européenne par « sphère de sécurité », entré en vigueur le 1er novembre 2000. Il s‟agit d‟une déclaration des droits relative aux données personnelles. Les entreprises américaines sont libres d‟y adhérer ou non ; cette adhésion se faisant moyennant le versement d‟une somme s‟élevant à 200 dollars. Chaque année, pour confirmer leur adhésion au programme, les entreprises devront verser 100 dollars. Il s‟agit d‟une méthode d‟autorégulation, une garantie pour l‟utilisateur que la société à laquelle il confie ses données respecte les grands principes de la législation européenne. Il s‟agit d‟une marque, d‟un sceau que peut utiliser la société. Chaque année, les entreprises en réfère au ministère du commerce qui détermine vérifie que les exigences posées par le programme sont bien respectées. On remarque que de grands réseaux sociaux tels que Facebook ou Google (dont le réseau social est Orkut) y ont adhéré. MySpace et Twitter brillent par leur absence. Si le succès, au début du programme, était mitigé, le nombre des entreprises adhérentes n‟a cessé d‟augmenter depuis 2000. Le prix à payer étant assez dérisoire pour adhérer, il s‟agit avant tout des principes mis en œuvre par le programme qui rebute les entreprises. La liberté maximale offerte par l‟absence de règlementation aux États-Unis est plus attractive que le Safe Harbor. 40 B- Une réponse aux exigences européennes. 7 grands principes fondent la charte du Safe Harbor. Tout d‟abord, les entreprises doivent notifier aux utilisateurs sur les raisons de la collecte d‟informations et sur l‟utilisation de ces dernières. Les utilisateurs doivent être informés sur les moyens de contacter l‟entreprise et de se plaindre à l‟entreprise. Si cette exigence est une exigence de base, un minimum, elle n‟est pas très efficace dans la mesure où il est facile pour le responsable d‟un traitement de données personnelles de donner une information incomplète ou erronée sur la finalité d‟un traitement (information par ailleurs difficilement vérifiable). Ensuite, les utilisateurs doivent pouvoir choisir si les informations données seront publiées ou non selon la technique de l‟opt-out. Pour les données sensibles, un consentement exprès doit être donné (opt-in). La protection du consommateur : c‟est l‟opt-in. Ce n‟est pas encore dans les projets mais il semble judicieux d‟étendre la technique de l‟opt-in à l‟ensemble des données personnelles des internautes pour une réelle protection de leur vie privée. Pour transmettre des informations à un tiers, le responsable du traitement doit le notifier à l‟utilisateur et recueillir son consentement. Si le tiers agit en simple agent de l‟entreprise, il doit être adhérent au Safe Harbor, soumis à un système de protection « adéquate » ou encore s‟engager contractuellement à respecter ces principes. Les réseaux sociaux se contentent généralement d‟informer les utilisateurs de la possibilité de transmettre leurs données à des fins commerciales. En aucun cas, les réseaux ne transmettent à l‟utilisateur le nom de chacune des personnes à qui ils ont vendu des données. La question de l‟application à la lettre des principes du Safe Harbor est donc posée. Les utilisateurs doivent pouvoir accéder à leurs informations afin de les corriger, les modifier ou les supprimer si besoin est, sauf dans les cas où les dépenses faites pour donner accès à ces informations sont disproportionnées par rapport aux risques pour les libertés individuelles ou si cela porte atteinte aux droits de tiers. L‟efficacité de cette mesure et donc celle du fameux droit à l‟oubli est discutable, tout comme en droit français ; dans la mesure où là encore, il est impossible pour l‟utilisateur de suivre le chemin emprunté par ses données et donc de demander la suppression de celles-ci à tous les responsables de traitements à qui elles ont été vendue. 41 Les entreprises doivent s‟engager à prendre des mesures de protection des données afin d‟empêcher la perte des données, leur accès ou usage par des tiers non autorisés, leur publication, leur altération ou destruction. La question se pose alors de la validité des clauses de limitation de responsabilité que l‟on trouve dans toutes les conditions générales d‟utilisation de réseaux sociaux. Personne n‟est responsable en cas d‟atteinte aux systèmes de sécurité. Or c‟est une obligation mise à la charge des réseaux sociaux (pour ceux qui ont adhérés au Safe Harbor) et une obligation qui apparaît comme étant essentielle à la conclusion du contrat (dans les cas où le réseau n‟a pas adhéré au programme). C'est-à-dire qu‟il s‟agit de l‟objet même du contrat de protéger les données personnelles des utilisateurs et que sans cette garantie, l‟utilisateur n‟aurait probablement pas conclu le contrat. Aucune jurisprudence ne s‟est prononcée sur la question. Les entreprises doivent respecter la finalité pour laquelle les données sont collectées et doivent prendre les mesures assurant que les données sont traitées dans un but déterminé et précis. Un mécanisme non judiciaire de règlement des conflits entre l‟utilisateur et la société doit être mis en place. Des procédures de vérification de bonne application des principes doivent être instaurées. De plus, les entreprises se soumettent à une obligation de régler les litiges autres que ceux issus de la non-application des principes du Safe Harbor par l‟entreprise. Les sanctions doivent être suffisamment importantes pour dissuader les entreprises de contrevenir aux principes ainsi édictés. Ce programme offre donc une protection de base aux utilisateurs des réseaux. Ici encore, il est difficile de constater les manquements des réseaux sociaux à ces principes, malgré la vérification des instances américaines. En outre, le ministère du commerce et la Commission européenne considèrent que l‟adhésion au Safe Harbor n‟est pas le seul moyen d‟offrir une protection adéquate. Des alternatives existent. Tout d‟abord, les transferts de données sont autorisés quand la personne concernée a donné son consentement exprès au transfert. Ce consentement doit être « spécifique et informé », c'est-à-dire donné en vue d‟un transfert qui doit être déterminé et en toute connaissance du fait que le régime de protection du pays destinataire n‟est pas adéquat. Cette dernière information n‟est jamais donnée, que les réseaux sociaux soient adhérents du Safe Harbor ou non. Le choix de la législation est effectué sans informer l‟utilisateur de la substance de cette législation, et donc des conséquences d‟un traitement soumis à ladite législation. 42 L‟utilisateur ne va, de son coté, quasiment jamais rechercher les dispositions de la législation en question avant de s‟inscrire. Il reste donc dans l‟inconnu quant au traitement réservé à ses données. Ensuite, en l‟absence d‟un niveau adéquat de protection dans le pays destinataire, des clauses contractuelles peuvent présenter des garanties suffisantes pour effectuer les transferts de données vers ce pays. Le contrat doit alors comporter certaines clauses standards27. Si le transfert est effectué dans l‟intérêt public, notamment ceux concernant l‟exercice de droits ou la défense dans une action judiciaire, ceux nécessaires pour protéger les intérêts vitaux de la personne considérée, ou ceux réalisés pour l‟établissement de registres publics. Une entreprise peut développer son propre programme de mise en conformité avec la législation européenne. Pour que ce programme soit validé, il faut qu‟elle le soumette à l‟autorité indépendante de protection des données de l‟État membre à partir duquel elle entend exporter ces données. Enfin, les associations dont l‟activité des membres peut relever de différentes branches de commerce et les institutions représentant les différentes catégories de personnes responsables des transferts de données doivent mettre en œuvre des codes de « bonne conduite ». Ces codes font partie des règlements internes des sociétés membres et doivent être soumis aux autorités nationales pour la protection des données pour approbation. Les entreprises qui ne souhaitent donc pas être soumises au formalisme du Safe Harbor (paiement d‟une « redevance » et examen des pratiques de l‟entreprise par le ministère du commerce des États-Unis) peuvent tout de même offrir une certaine protection aux utilisateurs de leur service. On remarque que malgré des dispositions importantes au niveau des différentes législations, les données personnelles sont difficilement protégées des détournements que peuvent en faire les responsables des traitements. La valeur économique des données 27 Décision de la Commission européenne n°2001/497/CE du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE, in JOCE L181/19 du 4 juillet 2001. Décisions de la Commission européenne n°2002/16/CE du 27 décembre 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE, in JOCE L6/52 du 10 janvier 2002. Décision n°2004/915/CE du 27 décembre 2004 modifiant la décision 2001/497/CE en ce qui concerne l‟introduction d‟un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, in JOCE L385/74 du 29 décembre 2004. 43 personnelles fait que les responsables de traitement peuvent difficilement résister aux demandes des annonceurs qui souhaitent avoir connaissance de toutes ces données, surtout dans une situation où peu de réseaux sociaux ont trouvé un équilibre économique. Ce n‟est pourtant pas la seule menace qui pèse sur la protection des données personnelles. 44 TITRE 2 – UN PHÉNOMÈNE MONDIAL COMPORTANT DE NOMBREUX RISQUES. Les réseaux sociaux représentent des nouvelles plateformes de communication et de nouvelles bases de données. Ils représentent alors une porte d‟accès aux cybercriminels, facilitant la tache de ces derniers. (chapitre 1) Les réseaux sociaux, de par leur expansion, mettent en avant une notion de plus en plus présente dans le cadre du web 2.0 : l‟identité numérique. (chapitre 2) CHAPITRE 1 – UNE PORTE D’ACCÈS POUR LES CYBERCRIMINELS. Les réseaux sociaux facilitent le travail des cybercriminels en ce qu‟ils détiennent un maximum d‟informations sur les internautes et qu‟il est plus facile pour les pirates d‟attaquer sur ces réseaux où tout ce dont ils ont besoin est à portée de main. Une nouvelle forme de piraterie est apparue avec les réseaux sociaux et concerne les éditeurs d‟applications sur les réseaux sociaux (section 1) ; cette nouvelle forme de piraterie n‟empêche pas moins la piraterie « traditionnelle ». (section 2) Section 1 Ŕ Le cas des éditeurs tiers hébergés sur le réseau social. Il s‟agit ici d‟éditeurs « d‟applications » dont l‟intérêt est, pour l‟utilisateur, à double tranchant. Si ces applications représentent une plus value non négligeable pour l‟utilisateur et l‟hébergeur (§1), elles représentent également un risque majeur (§2). §1 Ŕ Une plus value pour l‟utilisateur. Les différentes applications éditées sur les réseaux sociaux sont très attractives pour les utilisateurs (A.) et renforcent la qualification de « moyen de communication » des réseaux sociaux (B.). A- Un attrait majeur des différentes applications. Lors de son inscription à un réseau social, l‟utilisateur bénéficie automatiquement des « applications » offertes par le réseau. Ces applications sont des programmes édités par le réseau offrant à l‟utilisateur la possibilité de développer sa page personnelle. Par exemple, elles permettent de publier des photos ou des vidéos sur le site, de créer des listes de chansons pouvant être écoutées depuis le réseau. Les différentes applications diffèrent selon le réseau social et ses finalités. En plus de ces applications, des éditeurs tiers peuvent créer leurs propres applications puis les diffuser sur le site. C‟est ensuite à l‟utilisateur de choisir ou non d‟installer cette application. Ces applications sont nombreuses et représentent une plus value pour l‟utilisateur en ce qu‟elles permettent de divertir l‟utilisateur et d‟égayer sa page. Elles peuvent prendre la forme de jeux, de quiz, de tests, et beaucoup d‟autres formes encore. L‟utilisateur peut jouer au poker en ligne avec ses amis, il peut écouter la musique que crée un de ses collègues, rencontrer de nouvelles personnes via une application spécialisée dans la rencontre, savoir quelle est sa « véritable » personnalité ou encore à quelle ville il « correspond » (il s‟agit de tests de personnalité auxquels l‟utilisateur répond pour en « savoir » plus sur sa personnalité). La liste est sans fin. Un nombre très important d‟applications sont éditées par les réseaux sociaux et ces applications sont très populaires auprès des utilisateurs. À tel point que certains utilisateurs créent leurs propres applications. Le marché est, à l‟instar des réseaux sociaux, en pleine expansion. Certaines sociétés ne sont créées que dans le but d‟éditer des applications. Le marché publicitaire est par ailleurs lui aussi très important sur ces applications. L‟exemple en est de Living Social, société de droit 47 américain, dont les applications sur les réseaux sociaux Facebook ou Twitter connaissent un succès planétaire. L‟essentiel des utilisateurs des réseaux sociaux ajoutent au moins une de ses applications, entrainant un nombre considérable d‟utilisateur des différentes applications. Une chose en entrainant une autre : les annonceurs s‟intéressent de près à ces diverses applications. B- Un moyen de communication sans faille. Ces applications permettent par ailleurs de confirmer l‟essor que prennent les réseaux sociaux en tant que moyen de communication majeur. L‟exemple évident est le réseau social MySpace qui met l‟accent sur la musique. Chaque utilisateur peut soit diffuser la musique qu‟il aime, soit celle qu‟il créé. C‟est ainsi que MySpace est devenuun véritable révélateur de talents. Le groupe de rock anglais Arctic Monkeys fut le premier grand succès de la génération MySpace. Ils ne furent que les premiers d‟une longue liste. Les producteurs n‟ont qu‟à errer sur le site pour écouter de jeunes talents du monde entier et décider de produire qui ils souhaitent. C‟est une aubaine pour les jeunes artistes qui n‟ont pas de grands moyens pour enregistrer leur musique ou pour la faire connaitre. Ici, ce sont les utilisateurs qui utilisent le réseau pour effectuer une « campagne publicitaire » à moindres frais. Les réseaux sociaux prévoient des dispositions spéciales en ce qui concerne l‟utilisation du service à des fins de promotion d‟un lieu, d‟une marque, d‟un produit, d‟un organisme ou d‟une personnalité. Il n‟est pas nécessaire de s‟inscrire sur un réseau social pour pouvoir communiquer. Il est possible de créer des groupes ou forums (tout dépend du réseau social) que peuvent rejoindre les utilisateurs du réseau. Beaucoup d‟artistes utilisent ce moyen de communication. Le plus souvent, ce sont les fans eux-mêmes qui utilisent ce moyen pour promouvoir leur artiste préféré. Ces groupes ont un succès considérable. Pour exemple : les Beatles ont un peu plus de 500 groupes qui leur sont dédiés sur Facebook. Si l‟essentiel de ceux-ci permettent la communication sur des évènements culturels (musique, cinéma, littérature), on trouve évidemment des groupes ou forums dont le but est moins léger. En effet, les « organisations criminelles » et les sectes y voient un moyen de communiquer. De nombreux soupçons se sont portés sur les organisations terroristes qui recruteraient des membres via les réseaux sociaux. 48 Car il se trouve effectivement que ces applications présentent un risque pour l‟utilisateur. §2 Ŕ Un danger supplémentaire pour l‟utilisateur. Par le biais de ces applications, de nombreuses données personnelles sont collectées (A.) mais l‟utilisateur est dans l‟incapacité de contrôler a priori la bonne foi de l‟éditeur (B.). A- De nombreuses informations supplémentaires collectées. En effet, ces applications permettent la collecte de données personnelles des utilisateurs : sur ses goûts, sa personnalité, ses envies. Pour exemple, l‟application la plus utilisée sur Facebook. Il s‟agit de Living Social qui permet de choisir et de partager cinq livres, films, chansons, personnalités,…, avec ses contacts. Cette application compte 31 772 891 utilisateurs par mois. À l‟évidence, cela permet de cibler très précisément les goûts des utilisateurs. Au troisième rang de popularité de ces applications, on trouve Zoosk, une application faisant office d‟agence matrimoniale. Elle permet aux utilisateurs de rencontrer d‟autres utilisateurs en fonction de leur goût, leur localisation… La quantité de données personnelles livrées pour participer à cette application est importante. 8 541 443 personnes l‟utilisent chaque mois. Des données que l‟utilisateur n‟avait pas forcément donné lors de son inscription et qu‟il ne souhaite pas donner au réseau sont alors récupérées sous couvert de lui trouver un partenaire idéal. Les éditeurs s‟octroient aussi le droit d‟accéder aux informations des contacts des utilisateurs qui ajoutent l‟application ; ils peuvent donc récupérer ces informations sans l‟accord de l‟intéressé. L‟utilisateur ne peut pas autoriser l‟éditeur à traiter les informations de quelqu‟un d‟autre. Sans mandat de la personne lui donnant pouvoir pour autoriser le traitement de ses données, l‟utilisateur est dans l‟incapacité de donner son accord. Les informations alors récupérées par l‟éditeur le sont en toute illégalité. Mais là encore, aucun juge n‟a été saisi… De nombreuses informations supplémentaires sont donc livrées, des informations qu‟à l‟origine, l‟utilisateur n‟avait peut-être pas souhaité révéler. En effet, ici encore, l‟utilisateur n‟a pas toujours conscience des informations qu‟il donne en ajoutant ces applications. Ce qui pose problème compte tenu du code pénal qui exige le consentement de l‟intéressé pour pouvoir traiter ses informations et du code civil qui exige un consentement éclairé d‟une partie à un contrat. 49 Il ne voit que l‟aspect divertissant. Mais derrière, les éditeurs collectent d‟importantes informations qu‟ils peuvent aisément revendre. Ils sont indépendants du réseau social. La collecte et le traitement des données par l‟éditeur de l‟application sont différents de celui effectué par l‟hébergeur. L‟utilisateur doit donc prendre connaissance des conditions d‟utilisation de l‟application et éventuellement (dans les cas où elles existent) des politiques de confidentialité. Ces éditeurs sont là encore souvent établis à l‟étranger et donc soumis à un droit différent. Les conditions générales d‟utilisation se heurtent alors aux mêmes problèmes que ceux posés par les conditions générales d‟utilisation des hébergeurs. Le fait est que les utilisateurs n‟y portent aucune attention. Les conditions d‟utilisation sont beaucoup plus succinctes que celles des hébergeurs et les politiques de confidentialité sont « facultatives ». L‟utilisateur « accepte » alors aisément le traitement de toutes les données récoltées et ne saisira probablement jamais le juge sur le terrain des clauses abusives. La voie est donc libre pour les éditeurs qui peuvent alors disposer des informations. B- Aucune possibilité de contrôle a priori de la bonne foi de l‟éditeur. Lorsqu‟un utilisateur décide d‟ajouter une application, il peut lire les conditions générales d‟utilisation avant ; il doit même théoriquement les approuver (ce qui est théorique dans la mesure où l‟utilisateur ne lit que très peu les conditions d‟utilisation des applications). Le fait est que l‟éditeur peut raconter n‟importe quoi dans ces conditions, l‟utilisateur ne s‟en rendra compte qu‟une fois le loup dans la bergerie. C'est-à-dire que ce n‟est qu‟une fois l‟application ajoutée (conditions d‟utilisation acceptées) que l‟utilisateur peut se rendre compte soit que l‟éditeur ne traite pas ses informations comme prévu initialement soit qu‟il s‟agit d‟un éditeur de mauvaise foi qui n‟utilise cette technique d‟édition uniquement pour récupérer des informations à des fins malveillantes. Il s‟agit là d‟une nouvelle forme de piraterie, née avec les réseaux sociaux. Les pirates se font passer pour des éditeurs d‟application auprès de l‟hébergeur. Il est autorisé à éditer sur le réseau. L‟utilisateur ne se méfie alors pas et autorise cet éditeur à accéder à ses informations personnelles. L‟éditeur-pirate récupère alors en toute transparence les informations de l‟utilisateur afin de les utiliser de façon malveillante. Si l‟utilisateur s‟en rend compte c‟est tout d‟abord qu‟il a de la chance et ensuite il n‟a pas d‟autre moyen que d‟attaquer l‟éditeur. En effet, dans leurs conditions générales d‟utilisation, les réseaux sociaux se dédouanent de toute responsabilité concernant ces éditeurs tiers. Et lors de l‟ajout de l‟application, il est bien précisé dans les conditions d‟utilisation que le contrat est conclu exclusivement entre l‟utilisateur et l‟éditeur. Le problème étant que des 50 sociétés n‟étant créées que dans ce but, il apparaît difficile pour l‟utilisateur de retrouver l‟éditeur ; même si ce dernier a laissé ses informations à l‟hébergeur (conformément à la LCEN), il n‟est pas impossible que ces informations soient fausses ou caduques. Il est en outre difficile pour l‟utilisateur de prouver les méfaits de l‟éditeur. Par ailleurs, lorsque l‟utilisateur se rend compte de la mauvaise utilisation de ses données, ces dernières ont déjà été vendues à plusieurs annonceurs, publicitaires, entreprises qu‟il est impossible pour l‟utilisateur d‟identifier. Le mal est donc irréparable. Ces éditeurs tiers sont donc un véritable danger pour les données personnelles des utilisateurs. Et ce ne sont pas les seuls risques qu‟encoure l‟utilisateur d‟un réseau social. Section 2 Ŕ Une aubaine pour les pirates du net. Les réseaux sociaux représentent des plateformes d‟accès facile aux informations des utilisateurs (A.) ; la protection des données de l‟utilisateur est alors menacée (B.). §1 Ŕ Une facilité d‟accès aux différentes informations. « Le cyber-crime représente, en Europe, la catégorie de crimes et délits qui se développe le plus rapidement »28. Les cybers-délinquants sont usuellement classés en 7 catégories, selon leurs motivations. La première d‟entre elle est l‟argent. Les pirates peuvent notamment, récolter des informations confidentielles qu‟ils pourront ensuite revendre au plus offrant ou utiliser pour leurs propres besoins. C‟est un marché intéressant, par exemple des pirates ont crée un logiciel « Lover spy »qui permet d‟envoyer, pour 89 dollars, une e-card à sa fiancée. C‟est en réalité un logiciel espion permettant ainsi de connaître tous les secrets qu‟elle cache dans son ordinateur (messages électroniques, photos, …) Les autres motivations sont : la gloire (l‟ego est un élément très important), l‟idéologie, la raison d‟État (par exemple, la Corée du nord est soupçonnée d‟avoir fondé une école de piratage comptant plusieurs centaines d‟élèves), le jeu et le défi, la vengeance, et enfin la recherche d‟un emploi. 28 SIEBER (U.), « Rapport de criminologie virtuelle McAfee », 2005. 51 Le fait est que les réseaux sociaux facilitent considérablement la tache des pirates informatiques. En effet, le travail « d‟investigation » de ceux-ci est aidé par le fait que désormais, les pirates n‟ont plus qu‟a attaquer le site hébergeur pour obtenir un nombre considérable d‟informations personnelles sur les utilisateurs. Les réseaux sociaux eux, se dégagent de toute responsabilité quant aux atteintes aux mesures de protection. Pour exemple, la politique de confidentialité de Facebook stipule que « il n’existe aucun système de sécurité infaillible. […] Nous ne sommes en aucun cas responsables du non-respect des paramètres de confidentialité ou des mesures de sécurité en vigueur sur ce site ». Cela peut paraître surprenant dans la mesure où la protection des données personnelles de l‟utilisateur peut être considérée comme une obligation essentielle du contrat dont l‟hébergeur ne peut se dégager. Les réseaux sociaux facilitent considérablement le travail des pirates en ce qu‟ils mettent en libre accès des informations de base sur les individus. Il suffit de taper un nom dans un moteur de recherche pour obtenir un minimum d‟information, le tout en un temps record. La base du travail du pirate est donc grandement facilitée. L‟utilisateur n‟est donc pas à l‟abri des nombreuses menaces du web… §2 Ŕ De nombreuses menaces. Il est impossible de recenser l‟ensemble des menaces dans la mesure où chaque jour est créée une nouvelle. Il s‟agit donc ici de présenter les plus significatives. Tout d‟abord, les pirates peuvent utilisent les outils grand public pour faciliter la recherche. Il s‟agit du Google hack. Les moteurs de recherche (notamment Google, le plus important) permettent d‟obtenir de façon très discrète de nombreuses informations. Par ce biais, il est possible de recueillir des données administratives, techniques, et toutes les informations supplémentaires que les personnes laissent sur la toile (a fortiori sur les réseaux sociaux). Ensuite, on trouve un ensemble de « malwares » traditionnels. Les malwares désignent l‟ensemble des programmes malveillants, il s‟agit d‟une contraction de malicious et software. Parmi les malwares on trouve les traditionnels virus. Il s‟agit d‟un logiciel qui s‟introduit au sein des programmes afin de se reproduire et de contaminer le plus grand nombre de fichiers. 52 Ces virus peuvent avoir différentes finalités selon son créateur. En 200629, on estimait à 200 000 le nombre de formes de virus différentes alors qu‟on en comptait que 18 en 1989. Ce nombre ne fait qu‟augmenter. Aux cotés des virus, on trouve les vers. Contrairement au virus, un ver est un programme autonome qui n‟utilise pas de support pour se propager car il se déplace dans les réseaux informatiques grâce à sa faculté d‟autocopie. Il se décompose en 2 parties : un moyen de prolifération (tel qu‟un mail) puis l‟exécution des actions (suppression de fichiers par exemple). Le cheval de Troie est un logiciel qui se présente sous une apparence bénigne. Lorsque ce logiciel sera utilisé, il effectuera des tâches (vol de données, destruction de fichiers, etc) pour lesquelles il a été conçu et ceci sans que le propriétaire légitime de l‟ordinateur en ait conscience. Une back door (que l‟on peut traduire par « porte de derrière ») est une fonctionnalité cachée qui a été incluse dans un logiciel (un malware) afin d‟avoir accès à certaines fonctions sans avoir à passer par le processus d‟authentification. Microsoft a, par exemple, utilisé cette technique afin d‟intégrer des petits jeux dans la suite bureautique du Pack Office30. Enfin, la dernière catégorie de malwares notables est celle des logiciels espions. On y trouve les spywares qui sont une menace assez récente. Elle est apparue avec la démocratisation d‟Internet. Il s‟agit de petits logiciels qui s‟installent à l‟insu des utilisateurs pour espionner ceux-ci et qui peuvent par la suite transmettre le fruit de leur recherche. Ensuite, un keylogger (« enregistreur de touches ») est un petit programme qui enregistre secrètement les informations tapées au clavier de l‟ordinateur sur lequel il a été installé, puis les transmet subrepticement vers la personne qui en est le propriétaire. Ces programmes peuvent avoir un mode de fonctionnement intelligent et ne procéder à l‟enregistrement des touches du clavier que sous certaines conditions afin de ne pas noyer les informations utiles dans une masse de données. Et enfin, les adwares sont un type particulier de spyware. Ils collectent des informations personnelles afin de les transmettre à des sociétés spécialisées dans le marketing en ligne. 29 Éstimation de McAfee confirmée par PestPatrol qui estime que l‟évolution du nombre de formes de virus est passé de 0 en 1985 à 200 000 en 2006. 30 Les entreprises refusaient qu‟un logiciel contienne des jeux dans la mesure où cela déconcentrait les employés. Microsoft les a donc intégrés au logiciel sans en informer les employeurs. 53 Certains adwares offrent un service en échange de la récolte de données (par exemple l‟outil de partage de fichiers Kazaa que la possibilité de collecter des informations se fait en échange de la gratuité du service). Ce dernier outil est évidemment très utile aux réseaux sociaux. Récemment, Twitter a été victime d‟une attaque de malware. Un pirate a créé un faux compte utilisateur sur lequel il a publié un lien vers une soi-disant vidéo pornographique. Lorsqu‟un autre utilisateur clique sur ce lien, une fenêtre de téléchargement automatique s‟ouvre simulant une mise à jour d‟Adobe Flash (nécessaire pour regarder les vidéos). L‟utilisateur se retrouve avec un nouveau fichier sur son ordinateur intitulé Adobe Flash qui se révèle être un cheval de Troie. Ce profil public circule de plus en plus sur Internet et s‟infiltre au travers de plusieurs réseaux sociaux. Le lien est alors mis en valeur sur les moteurs de recherches. Twitter a fini par fermer ce compte, mais les centres de sécurité ont analysés plusieurs cas similaires. Autre menace à laquelle s‟expose l‟internaute est le spam. C‟est l‟envoi massif de courriers publicitaires. La récupération d‟une adresse électronique via un réseau social peut aboutir à ce résultat. Même si cela ne représente pas un risque très dangereux pour l‟internaute, c‟est désagréable. Le fait est que la plus grande menace résulte avant tout des facteurs humains. « La plus grande menace pour la sécurité informatique d’une entreprise n’est pas le virus, la faille de sécurité non corrigée ou un firewall mal installé, en fait, la plus grande menace pourrait être vous. »31 Il convient d‟étudier les erreurs humaines. Il s‟agit ici des erreurs de conception de logiciels, les erreurs de programmation, de configuration, et les erreurs par négligence. L‟exemple le plus célèbre d‟une erreur de conception est le fait que de nombreux logiciels n‟avaient pas été conçus pour prendre en charge le changement de siècle (lors du passage à l‟an 2000). Comme les programmes informatiques deviennent de plus en plus complexes, il est naturel qu‟ils intègrent un certain nombre d‟erreurs de programmation qui pourront être utilisées par les pirates. Lorsqu‟on met en place un nouveau système ou que l‟on installe un nouveau logiciel, il est nécessaire de paramétrer en fonction de l‟usage qui en sera fait. C‟est lors de cette étape que 31 Extrait de vulnerabilite.com, cité par CALÉ (S.) et TOUITOU (P.) dans « La sécurité informatique », Lavoisier, Paris 2007. 54 peuvent être commises quelques erreurs (à la suite d‟une faute d‟inattention ou d‟une méconnaissance du produit). Enfin, les erreurs par négligence résultent du fait que certaines personnes ne prennent pas assez en compte la problématique de la sécurité et ses enjeux. L‟une des attaques qui se développe le plus avec les réseaux sociaux est le social engineering (ou ingénierie sociale). Cela consiste à exploiter la confiance humaine afin d‟obtenir des informations qui serviront plus tard à mener des attaques et parfois même, faire effectuer certaines actions par les victimes, en se faisant passer pour quelqu‟un d‟autre. Pour exemple, en 2004, une personne a reçu un mail indiquant qu‟une commande a bien été effectuée et que sa carte de crédit sera débitée. La personne n‟ayant rien commandé, elle appelle immédiatement le numéro laissé. L‟objectif de l‟escroquerie en l‟espèce n‟est pas de demander le numéro de carte de crédit de la personne (sous couvert d‟une vérification) mais simplement que la personne appelle. En effet, le numéro laissé est surtaxé, le coût de la communication est de 4 euros à la seconde. Cette méthode va de la plus petite escroquerie à des méfaits de très grandes ampleurs. Cette méthode se développe en partie grâce aux réseaux sociaux dans la mesure où il est facile de trouver des informations de façon très simple sur ces réseaux. Le phishing conjugue le social engineering avec les évolutions techniques. Il s‟agit pour le pirate de se faire passer, auprès de ses victimes, pour un organisme connu (une banque par exemple) afin de les mettre en confiance et ainsi pouvoir leurs soutirer des informations confidentielles. On distingue généralement 3 méthodes. Tout d‟abord, le mail trafiqué par lequel la victime reçoit un mail semblant provenir d‟un organisme de confiance, dans lequel il lui est demandé de se connecter sur un serveur web sous un prétexte fallacieux. Ce serveur web est présenté dans le mail avec un lien HTTP32 pointant vers un site web que le pirate aura créé en imitant l‟aspect de celui de l‟organisme dont il aura usurpé l‟identité. Le pirate pourra ainsi récupérer toutes les informations. Ensuite, la méthode du pharming. Le pirate va corrompre le système DNS33 en y substituant l‟adresse IP d‟un site connu par celle du serveur qu‟il aura mis en place et qui prendra l‟apparence du site légitime. Les internautes seront alors automatiquement redirigés 32 HyperText Transfer Protocol (ou protocole de transfert hypertexte) : protocole de transfert de fichiers en mode non connecté, utilisé notamment pour télécharger les pages HTML. 33 Domain Name System (ou système du nom de domaine) : système inventé en 1983 qui permet de faire la correspondance entre le nom d‟un ordinateur et son adresse IP. 55 vers le site du pirate qui pourra alors récolter les informations. Et enfin la dernière méthode est celle du Cross Site Scripting (XSS). Dans le mail qu‟il envoie à sa victime, le pirate va insérer l‟URL34 d‟un site web de confiance, auquel il attachera un script. Une fois que l‟internaute aura cliqué sur ce lien, ce script sera envoyé vers le serveur qui ne saura comment l‟interpréter et renverra donc un message d‟erreur contenant ce fameux script. Le navigateur de la victime exécutera ce script dans lequel le pirate aura pu inclure des instructions permettant différentes actions pouvant obliger l‟internaute à s‟identifier. Cette menace est redoutable en ce que les outils traditionnels de lutte contre la criminalité informatique se révèlent inefficaces. Enfin, la dernière menace consiste dans le vol d‟informations confidentielles et la manipulation des informations. À l‟ère numérique, la quasi-totalité des informations confidentielles sont enregistrées dans un système informatique. Les plus évidentes de ces attaques sont le cassage de messages cryptés ou de mots de passe. De manière moins brutale, on trouve le sniffing (le reniflage) qui consiste à mettre en place une sonde sur un réseau ou à installer un logiciel sur un ordinateur qui va capturer le trafic y circulant pour pouvoir ensuite en extraire les informations confidentielles. Il est aussi possible de récupérer des données effacées. Lorsqu‟on supprime un fichier (même après avoir vidé la corbeille), les données ne disparaissent pas immédiatement du support physique et seuls les emplacements dans lesquels elles sont stockées sont mis à disposition pour une utilisation future. Si ces emplacements ne sont pas réutilisés, il est très aisé d‟utiliser des outils spécialisés pour recréer ces fichiers. La sécurité sociale américaine en a fait l‟expérience : elle a revendu des PC d‟occasion dont des personnes mal intentionnées ont réussi à extraire des données confidentielles concernant plusieurs milliers d‟assurés. En outre, dans le monde des affaires essentiellement, les pirates manipulent les informations afin de récupérer un bénéfice. L‟exemple en est du « pump and dump ». Après avoir acheté des milliers d‟actions d‟une société cotée en bourse, le pirate va répandre de fausses informations sur Internet afin d‟en faire monter artificiellement le cours puis les revendre pour encaisser la plus value. À l‟inverse, les informations peuvent être diffusées pour faire baisser le cours de l‟action, en acheter un nombre important puis les revendre lorsqu‟elles auront repris leur cours légitime. 34 Uniform Resource Locator (ou localisateur d‟une ressource uniforme) : format d‟adresse utilisé sur le web pour désigner de façon unique le chemin d‟accès à une ressource (site, image, etc). 56 Les internautes ont de plus en plus confiance en l‟économie numérique. Ils laissent donc de plus en plus d‟informations sur la toile et notamment sur les réseaux sociaux. L‟importance que prend le web dans les relations entre les individus joue de fait sur la quantité de données personnelles laissées sur la toile. De ce fait, le piratage d‟internet est de plus en plus bénéfique. En outre, les technologies permettent chaque jour un peu plus d‟améliorer les techniques de piratage pour plus de discrétion. Les réseaux sociaux facilitent donc la tache de ces pirates qui, en s‟attaquant au site web hébergeur, peuvent récupérer des informations en masse. 57 CHAPITRE 2 – L’IDENTITÉ NUMÉRIQUE : NOTION AU CŒUR DES QUESTIONS D’AVENIR DES RÉSEAUX SOCIAUX. Avec le développement des nouvelles technologies, l‟identité numérique a pris un essor considérable notamment par le biais des jeux vidéos et des espaces virtuels (par exemple Second Life) où l‟utilisateur créé son avatar. Les réseaux sociaux s‟inscrivent dans la droite ligne de ce phénomène. Au delà des menaces « classiques » étudiées, est apparue avec les réseaux sociaux une nouvelle menace de taille : l‟usurpation d‟identité. (section 1) En outre, l‟avenir des réseaux sociaux se traduit par l‟interopérabilité de ceux-ci consistant en la portabilité des données personnelles de l‟utilisateur, qui n‟est pas sans poser problèmes notamment sur le plan de la protection des données personnelles. (section 2) 58 Section 1 Ŕ Vers la reconnaissance d‟une infraction d‟« usurpation d‟identité ». Avec l‟avènement du web 2.0, la notion même d‟« identité virtuelle » s‟est développée pour devenir une réalité (§1). Le problème est que, malgré certaines dispositions dans le code pénal, rien ne vient sanctionner l‟usurpation d‟identité numérique. (§2) §1 Ŕ Une importance croissante de la notion d‟identité virtuelle. « L’identité d’une personne est ce qui fonde l’existence de sa personnalité juridique »35. Avec le numérique, l‟identité humaine a pris une autre dimension (A.). La dimension numérique de l‟identité est renforcée par le succès considérable des réseaux sociaux (B.). A- De l‟« identité humaine » à l‟identité virtuelle. « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Dans son article premier, la loi de 1978 pose la notion d‟« identité humaine ». À l‟origine, l‟identité humaine était entendue comme étant les données de l‟État civil, enregistrées par les différentes administrations de la République (administration fiscale, sécurité sociale, etc). Avec le développement de l‟outil informatique, les parlementaires ont souhaité protéger les données des citoyens, protéger les données « purement identitaires » (c'est-à-dire les données classiques d‟identification telles que le nom, prénom, âge). Avec le développement du web 2.0, l‟identité réelle a eu tendance à se déplacer dans le monde virtuel. Le premier réflexe fut l‟assimilation de l‟identité réelle au monde virtuel. Comme, avec Internet, beaucoup d‟actes de la vie juridique ont été transposés à l‟identique dans le monde virtuel, qu‟il en aille de même avec l‟identité paraissait évident. Cette assimilation s‟est avérée dans certains cas problématiques, en raison de la virtualité du monde numérique. Il en est allé de même pour l‟identité. 35 Proposition de loi (aujourd‟hui caduque) tendant à la pénalisation de l‟usurpation d‟identité numérique sur les réseaux informatiques, www.senat.fr, 4 juillet 2005. 59 Néanmoins, il s‟est révélé que l‟identité virtuelle était plus vaste que l‟identité réelle. Tout d‟abord, avec le numérique, de nouvelles données, inconnues dans le monde réel, sont apparues. Il s‟agit des données de connexion et adresses IP. Ce que la doctrine qualifie d‟« identité numérique ». « Il s’agit de la représentation technique de la personne et de ses actes dans le cyberespace ; elle est la plus proche de la personne réelle, traduisant ses actes en données numériques »36. Aux cotés de cette identité numérique, on trouve l‟identité « virtualisée » et l‟identité immatérielle. L‟identité « virtualisée » est l‟identité réelle transposée dans le monde numérique. On y retrouve donc les données identifiantes du monde réel. L‟identité immatérielle, quant à elle, est totalement factice. Le meilleur exemple de l‟identité immatérielle est l‟avatar de jeu vidéo. C‟est une toute autre personne que celle du monde réelle. Elle est créée pour le monde virtuel. Cette dernière identité est très utilisée sur le web 2.0 soit pour dissimuler sa véritable identité et ne pas subir de profilage soit pour « améliorer » l‟identité réelle non assumée. Les contours de cette identité virtuelle sont alors plus flous que ceux de l‟identité réelle. Pour cette dernière, les choses sont simples : l‟identification repose sur des données « de base » telles que le nom, prénom, adresse. Pour l‟identité virtuelle, les choses sont plus compliquées. L‟article 8 II. de la LCEN dispose que les prestataires techniques d‟Internet (fournisseurs d‟accès à Internet et hébergeurs) « détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ». La question se pose alors de savoir quelles sont les données identifiant un internaute ? Un décret en Conseil d‟État devait préciser cette disposition, notamment les données permettant l‟identification. Comme souvent, le décret en Conseil d‟État n‟a jamais été pris, laissant la jurisprudence le soin de déterminer quelles sont les données identifiant la personne. 36 MOURON (P.), « Internet et identité virtuelle des personnes », Revue de la recherche juridique – Droit prospectif, n°124, 2008. 60 La jurisprudence malheureusement n‟est pas uniforme. Dans 2 ordonnances, la cour d‟appel37 de Paris et le Tribunal de grande instance38 de Paris ont considéré que les adresses IP, adresses mail et les noms des utilisateurs devaient être transmises en vue d‟identifier les internautes contrefacteurs. On retrouve donc les données de l‟identité réelle complétée par l‟adresse IP. Si cette dernière est infalsifiable, elle identifie l‟abonné à Internet et non l‟internaute. Cependant, dans un jugement au fond, le Tribunal de grande instance de Paris39 a jugé que les hébergeurs devaient recueillir les noms, prénoms, domiciles et numéros de téléphone des éditeurs. Donc en l‟espèce, le fait que l‟hébergeur n‟ait demandé que les adresses IP, les adresses mail et les pseudonymes des éditeurs est insuffisant. Du fait de l‟instabilité jurisprudentielle, il est difficile de définir réellement en quoi consiste l‟identité virtuelle d‟une personne. S‟il parait évident que les noms et prénoms sont des éléments de l‟identité virtuelle, il est possible, de façon assez aisée, d‟intégrer certains autres éléments. Si une partie de la jurisprudence considère que les numéros de téléphone et adresses sont des éléments de l‟identité virtuelle, ceci est contestable. En effet, il est facile pour un internaute de mentir sur ce genre de données lors de son identification. En revanche, il ne peut falsifier son adresse IP. Le problème est que celle-ci identifie l‟abonné et non l‟internaute. Mais il suffirait pour l‟abonné, en cas de litige, de se retourner contre l‟internaute. Dans certains cas ceci est impossible : notamment en ce qui concerne les lieux publics qui mettent à disposition de leur clients un accès Internet. Il est impossible d‟identifier chacun des utilisateurs, et l‟adresse IP n‟identifie pas dans ces cas là l‟internaute. Ensuite, l‟adresse mail apparait comme un moyen d‟identification assez essentiel. Il est possible de vérifier la véracité de celle-ci (lors de l‟inscription) en envoyant un mail comportant un lien par lequel l‟internaute confirme son inscription. 37 Cour d‟appel de Paris, ordonnance, 7 janvier 2009, Raphaël Mezrahi et autres / Youtube Inc. Dans cette affaire, des vidéos contrefaites de sketches de l‟humoriste ont été diffusées sur le site communautaire. Le juge a donc ordonné à Youtube de transmettre au demandeur les données identifiant les éditeurs. 38 Tribunal de Grande Instance de Paris, ordonnance de référé, 7 janvier 2009, Jean-Yves Lafesse et autres / Youtube Inc. Les faits sont identiques à ceux jugés le même jour par la Cour d‟appel de Paris. 39 Tribunal de Grande Instance de Paris, 14 novembre 2008, Jean-Yves L. et autres / Youtube et autres. Dans cette affaire, des vidéos contrefaites de sketches de Jean-Yves Lafesse ont été diffusées sur Youtube. L‟humoriste a donc saisi le juge afin d‟obtenir les données identifiant les éditeurs contrefacteurs. 61 Le fait est que, en l‟absence d‟un texte clair ou d‟une jurisprudence affirmée, les contours de l‟identité virtuelle restent flous. B- Le rôle des réseaux sociaux dans l‟affirmation de l‟identité virtuelle. L‟identité virtuelle est donc une notion floue mais le fait est que son importance est capitale. Les réseaux sociaux connaissent un succès mondial. Ils consistent en la présentation de chaque individu utilisateur des réseaux. Chacun créé donc sa page et se présente. On retrouve la pluralité de l‟identité virtuelle. Certains y présentent leur vie telle qu‟elle est en réalité ; d‟autres se créent un personnage afin de communiquer mais sans révéler leur véritable vie. Le fait est que l‟on assiste à un véritable phénomène : la publicité de la vie privée. La vie privée est protégée par l‟article 9 du code civil40, l‟article 8 de la Convention européenne des droits de l‟Homme41 et la Charte des droits fondamentaux de l‟Union européenne42. C‟est un droit considéré comme fondamental. C‟est d‟ailleurs un élément essentiel dans la protection des données personnelles et tient évidemment un rôle majeur dans le cadre des réseaux sociaux. Chacun y tient et les internautes particulièrement s‟en intéressent. Lorsque le gouvernement a souhaité mettre en place le fichier EDVIGE (Exploitation Documentaire et Valorisation de l'Information Générale) afin de remplacer celui des renseignements généraux, il y eut un véritable tollé de la part de la population considérant que cela portait une atteinte grave à leur vie privée (dans la mesure où il comportait de nombreuses informations dites sensibles sur les personnes). Paradoxalement, ces mêmes personnes sont beaucoup moins dérangées par l‟idée de publier sur internet une grande partie de leur vie privée. L‟idée de « partager » sa vie avec ses amis est intéressante et se développe de plus en plus auprès des jeunes de la génération « 2.0 ». L‟évènement récent sur la question est l‟arrivée du président de la République sur le réseau social Facebook. Il est désormais possible de devenir « supporter » de Nicolas Sarkozy. 40 Article 9 du code civil : « Chacun a droit au respect de sa vie privée ». 41 Article 8 de la Convention européenne des droits de l‟Homme : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ». 42 Article 8 de la Charte européenne des droits fondamentaux de l‟Union européenne : « Toute personne a droit à la protection des données à caractère personnel la concernant ». 62 Cette page, si elle permet de présenter l‟action politique du président, permet également la publication de quelques informations privées notamment sur sa relation de couple. Si beaucoup de personnes publiques mettent ainsi leur vie privée en scène, le simple particulier ne se rend pas compte de l‟impact de la publicité. Exemple concret : un internaute utilisait les réseaux sociaux pour exposer sa vie à ses amis. Il avait ainsi posté près de 17 000 photos sur Flickr, il étoffait de façon importante sa page Facebook et publiait intensément sur YouTube. La revue « Le Tigre » a alors souhaité reconstituer et publier la vie de cet internaute en recoupant les informations trouvées sur le net. L‟article, que la revue qualifiait elle-même de « violemment impudique », a alors décrit de façon incroyablement précise la vie de cet internaute choisi au hasard. Cet internaute, bouleversé, a alors supprimé toutes les informations qu‟il avait publiées. Il n‟avait aucune idée de la publicité qu‟il faisait de sa vie privée. C‟est pour cela que la notion de « consentement » au traitement des données personnelles par les réseaux sociaux est discutable, dans la mesure où ce consentement n‟est pas éclairé. Dans cet univers 2.0 où chacun souhaite de plus en plus s‟exprimer (par la création de blogs, l‟inscription à un réseau social, etc), il devient de plus en plus difficile de protéger la vie privée et données personnelles des internautes. Des sites se spécialisent même dans la recherche d‟informations sur les réseaux sociaux. Des sortes de moteurs de recherche spécialisés. Tel est le cas de 123people.fr, spock.com, ou encore zoominfo.com. De cette importance de l‟identité numérique est apparu un phénomène nouveau, une nouvelle menace pour les utilisateurs d‟Internet, qu‟est l‟usurpation d‟identité numérique. §2 Ŕ L‟usurpation d‟identité numérique : un vide juridique. Il convient de présenter ce qu‟est l‟usurpation d‟identité numérique (A.). On remarque que cette notion représente un véritable vide juridique qu‟il est pourtant nécessaire de combler le plus vite possible (B.). A- Présentation de l‟usurpation d‟identité numérique. L‟usurpation d‟identité sur Internet est réellement devenue, ces quelques années, un phénomène important, une nouvelle forme de piraterie très populaire ; et si l‟on pensait que cela ne concernait que les personnages publics, c‟est une erreur : les particuliers sont aussi concernés par ce risque. L‟usurpation d‟identité consiste à « emprunter de façon définitive ou temporaire l’identité d’une personne connue de l’auteur de l’infraction. Sur Internet, l’usurpation 63 d’identité peut se définir comme une pratique par laquelle une personne utilise ou exploite sciemment les informations personnelles d’une autre personne à des fins illégales »43. Plusieurs menaces techniques sont caractéristiques de l‟usurpation d‟identité numérique. Tout d‟abord, il y a l‟ARP spoofing44. Lorsque 2 ordinateurs communiquent via le réseau Internet, ils utilisent un mécanisme intermédiaire de résolution d‟adresse nommé ARP qui permet de connaître l‟adresse physique des machines. Les systèmes d‟exploitation stockent ces informations (adresses IP et adresse physique correspondante). Ainsi, pour détourner le trafic, un pirate utilise la technique de l‟ARP poisoning45 qui consiste à envoyer aux ordinateurs, qui peuvent être amenés à communiquer avec elle, un paquet ARP associant l‟adresse IP de la victime à l‟adresse physique du pirate. Dès lors, quand un ordinateur souhaitera envoyer une information à la victime, il utilisera automatiquement l‟adresse de la machine du pirate. Ensuite, il y a la technique de l‟IP spoofing. Cela consiste simplement en l‟usurpation de l‟adresse IP d‟une machine qui est considérée comme étant de confiance dans le but de déjouer les mécanismes de filtrage. Autre technique : le « connection hijacking »46. Il s‟agit d‟attendre que la victime ait terminé avec succès la phase d‟authentification pour ensuite prendre sa place dans la communication. La technique du « man in the middle » consiste à insérer dans le dialogue, entre un client et un serveur, la machine du pirate. Le pirate se fait alors passer auprès du serveur comme étant le client et auprès du client comme étant le serveur. Le pirate pourra alors recueillir les informations et les modifier si besoin est. Le DNS spoofing consiste à remplacer, dans un serveur DNS, l‟adresse IP d‟une machine par celle d‟un ordinateur qui sera sous le contrôle du pirate. Ainsi en effectuant sa requête DNS, la victime se retrouvera automatiquement redirigée vers la machine piégée et donnera alors les informations qui lui sont demandées, en toute confiance. 43 HAAS (G.), « L‟identité usurpée sur Internet : vide juridique », RLDI, n°47, 2009. 44 « ARP » signifie Address Resolution Protocol ou protocole de résolution d’adresse. « Spoofing » est un terme informatique signifiant l’usurpation de quelque chose. 45 46 ARP poisoning se traduit en « empoisonnement d‟ARP ». Connection hijacking : se traduit par « détournement de connexion ». 64 Le mail spoofing consiste à écrire et envoyer un e-mail en se faisant passer pour quelqu‟un d‟autre. Le protocole qui gère l‟envoie des courriers électroniques n‟utilise aucun moyen d‟authentification. La replay attack47 consiste, pour le pirate, à intercepter les échanges de paquets de données lors d‟une communication pour pouvoir ensuite en rejouer certaines phases, notamment l‟identification, en réémettant les messages ainsi capturés lors d‟une future session. Enfin, la dernière technique est l‟intrusion par rebond. Cela consiste, lorsqu‟on veut attaquer depuis l‟extérieur un système très bien sécurisé, à ne pas le faire directement, mais à se rendre maître au préalable d‟une machine moins stratégique, donc plus vulnérable, au sein d‟un système d‟information cible. C‟est à partir de cet ordinateur que seront lancées les tentatives d‟attaques ultérieures. Par ailleurs, les tutoriels de piratage permettant l‟usurpation frauduleuse d‟identité est prohibée. L‟article 323-3-1 du code pénal dispose que « le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ». En début d‟année, les comptes Twitter de Britney Spears et de Barack Obama ont été détournés pour afficher des messages offensant ou gênant. Il se trouve que l‟usurpation de l‟identité de personnes privées est aussi en vogue. Un certain Frédéric Vignale en a fait les frais. Sur Facebook, un utilisateur malhonnête a reconstitué un profil au nom de M. Vignale. Il a pour cela repris un certain nombre d‟informations véridiques (nom, prénom, âge) et ajouté de nouvelles fausses. Il ensuite invité tous les amis du vrai M. Vignale en se faisant passer pour le vrai. Beaucoup d‟entre eux ont alors supprimé de leur liste d‟amis le vrai M. Vignale et ont ajouté le nouveau faux profil. Il a alors été difficile pour le vrai M. Vignale de convaincre tous ces amis que ce nouveau profil était un faux. Et ce phénomène prend de l‟ampleur. Il convient de rapprocher l‟usurpation d‟identité numérique d‟une autre technique apparue avec les réseaux sociaux. En effet, sur les réseaux sociaux, il est possible de prendre l‟identité que l‟on souhaite, les pseudonymes sont courants. De nombreuses personnes ont donc crées des comptes sur différents réseaux sociaux au nom de personnes célèbres. C‟est ainsi que Jean-Yves Lafesse par exemple a été amené a mener une guerre sans merci au réseau social 47 Replay attack se traduit par « attaque de réémission ». 65 MySpace. Il se trouve que, pour créer la page d‟une personne célèbre, les réseaux sociaux prennent le minimum de précautions. Tout d‟abord en ce qui concerne l‟utilisation du nom. Lors de l‟inscription, il suffit pour l‟utilisateur de certifier qu‟il dispose de l‟autorisation pour utiliser le nom. Les réseaux sociaux ne vont pas plus loin dans la certification, ils comptent sur la bonne foi des utilisateurs. Cela paraît être des mesures plutôt faibles qui ne protègent aucunement les personnes contre l‟utilisation de leur nom. Il en va de même pour l‟image. Dès qu‟un utilisateur de réseau social souhaite publier une image de lui, il lui suffit de certifier qu‟il dispose des droits sur celles-ci. Ce n‟est qu‟une déclaration que le réseau social ne vérifie pas plus. Il est donc aisé pour les utilisateurs de créer un compte sur un réseau social au nom d‟une personne célèbre. Il ne donne jamais ses données personnelles, mais celles de la personne célèbre : il est donc impossible de déterminer qui se cache derrière ce profil. Ensuite, il est difficile de se retourner contre le réseau social lui-même dans la mesure où il a pris des mesures, certes faibles, pour s‟assurer de la bonne foi de l‟utilisateur. Si les réseaux sociaux considèrent que les mesures prises sont suffisantes pour se dédouaner de toute responsabilité, ceci est discutable. En effet, ils doivent pouvoir identifier toute personne éditant un contenu. Or, les faibles mesures de vérification prises par eux ne suffisent pas à identifier la personne. Ils ne respectent donc l‟obligation légale mise à leur charge par la LCEN. Mais sur cette question précise, aucun juge n‟a été saisi. L‟identité est donc au centre de la question des réseaux sociaux. Et sa place est de plus en plus importante avec le développement exponentiel des réseaux sociaux. Les réseaux sociaux sont confrontés aux contours flous de l‟identité virtuelle et il est difficile pour eux de déterminer quelles informations doivent obligatoirement être données par les internautes. Il est donc important de régler rapidement la question pour plus de stabilité juridique. Il se trouve, en outre, qu‟aucune infraction ne vient sanctionner l‟usurpation d‟identité numérique. 66 B- Un vide juridique à combler. Il n‟existe pas en tant que telle une infraction d‟usurpation d‟identité numérique. La seule solution pour le moment est d‟assimiler à des situations déjà existantes telles que l‟action en usurpation de nom (sur le plan civil) et, sur le plan pénal, l‟article 434-23 du code pénal. Tout d‟abord sur le plan civil, les articles 1382 et 138348 fondent l‟action en usurpation de nom. Cette action a pour but d‟interdire à une tierce personne de porter indument son nom et de demander des dommages et intérêts. Il suffit de prouver que le nom a bien été usurpé et qu‟il existe un risque de confusion ou d‟assimilation. Or, cela pose problème dans la mesure où, dans le monde numérique, c‟est l‟usage qui est fait de l‟identité qui est plus préjudiciable que l‟usurpation en elle-même. Le risque de confusion apparaît assez peu pertinent. En outre, pour obtenir des dommages et intérêts, le demandeur devra justifier d‟un préjudice résultant de la faute commise par l‟usurpateur. Ensuite, sur le plan pénal. L‟article 434-23 du code pénal dispose que « le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d'emprisonnement et de 75000 euros d'amende ». Cet article pose donc 2 conditions cumulatives : la victime de l‟usurpation doit encourir un risque pénal du fait de cette usurpation. Cette usurpation doit alors porter sur le « nom » de la victime. Le champ d‟application de cet article parait alors trop restreint pour une application au monde virtuel. En effet, peut-on assimiler une adresse mail, un mot de passe, un nom de domaine ou encore une adresse IP au « nom » ? Aucune jurisprudence, pour le moment, ne va dans ce sens et il parait peu probable qu‟un juge prenne un jour cette décision qui semble contrevenir au principe de légalité et d‟interprétation stricte de la loi pénale. Aucune disposition légale ne vient donc sanctionner l‟usurpation d‟identité en tant que telle. En 2005, une proposition49 de loi tendant à la pénalisation de l‟usurpation d‟identité numérique sur les réseaux informatiques avait été déposée au Sénat. Cette proposition visait à punir d‟une année d‟emprisonnement et de 15 000 € d‟amende le fait « d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une 48 Article 1382 du code civil : « Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer ». Article 1383 du même code : « Chacun est responsable du dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence ». 49 Proposition de loi (aujourd‟hui caduque) tendant à la pénalisation de l‟usurpation d‟identité numérique sur les réseaux informatiques, www.senat.fr, 4 juillet 2005. 67 autorité publique ». Le sénateur Michel Dreyfus Shmidt défendait sa proposition en affirmant que « l'identité d'une personne est plus vaste et ses contours moins clairs. Certaines données numériques qui ont trait à l'identité d'un individu, comme un mot de passe d'un compte personnel sur l'Internet par exemple, ne sont pas considérées comme des éléments constitutifs de l'identité [...]. Or ces dernières sont le lieu d'usurpations d'identités bien réelles ». Le Garde des Sceaux avait à l‟époque considéré que la législation en place était suffisante et qu‟il n‟y avait pas lieu de la modifier. Or, il est évident que tous les cas ne sont pas pris en compte par les dispositions actuelles. En effet, le Garde des Sceaux faisait référence au délit d‟escroquerie qui permet de sanctionner les usurpations d‟identité qui ont des conséquences financières. Mais l‟usurpation d‟identité peut avoir beaucoup d‟autres finalités qui ne sont prises en compte par aucun texte. Il est donc nécessaire de prendre des mesures pour combler ce vide. Si cette proposition a été rejetée, elle a été reprise dans le projet de loi d‟orientation et de programmation pour la sécurité intérieure (LOPSI 250). Ce projet de loi comporte un plan anti-cybercriminalité. Il prévoit notamment que l‟usurpation d‟identité devienne un délit passible d‟un an d‟emprisonnement et de 15 000 € d‟amende. Le ministre de l‟intérieur, Michèle Alliot-Marie, a indiqué dans un communiqué de presse51 que « l’adaptation du droit passera aussi par la création de nouvelles formes d’incrimination. Il est aujourd’hui possible d’utilise à des fins malveillantes l’identité d’une personne physique ou morale sur Internet pour ouvrir des comptes de messagerie, pour accéder à un site, pour créer un site, pour envoyer des spams. Je veux que l’usurpation d’identité soit punie par la loi comme un délit, passible d’un an d’emprisonnement et de 15 000€ d’amende ». Ce projet de loi devait être présenté au Parlement au premier semestre 2008. En raison du retard, il ne sera présenté au Conseil des ministres que le 27 mai 2009. Il est déjà très controversé. D‟autres dispositions du projet sont considérées comme attentatoires aux libertés fondamentales des internautes ; les débats promettent donc d‟être houleux et de ce fait, le projet est encore loin d‟être adopté. En revanche, en ce qui concerne cette disposition très précise, elle est peu contestée en raison de sa nécessité. 50 LOPSI 2 car le projet de loi fait suite à la LOPSI ou « Loi Sarkozy » du 18 mars 2003 publiée au JORF du 19 mars 2003. 51 Communiqué de presse, « Lutte contre la cybercriminalité », intervention de Michèle Alliot-Marie, 14 février 2008. 68 La législation française n‟est pas la seule à ne pas sanctionner l‟usurpation d‟identité. Au sein de l‟Union européenne, seul le Royaume-Uni s‟est doté d‟une disposition dans le « UK Fraud Act »52 entré en vigueur le 15 janvier 2007. Cette loi dispose que toute personne reconnue coupable de « fraude » risque 12 mois d‟emprisonnement ou un amende (ou les deux). Cette « fraude » se divise en plusieurs actes différents dont la « fausse représentation » (false representation dans le texte) qui consiste en la fabrication d‟une fausse identité ou la prise d‟identité d‟une tierce personne à des fins malhonnêtes. L‟identité est vue de façon très large, et permet d‟englober largement l‟identité numérique. L‟Union européenne et le Conseil de l‟Europe n‟ont, quant à eux, pris aucune mesure sanctionnant l‟usurpation d‟identité virtuelle. Au plan international, le système le plus connu est le système américain du « Identity Theft Penalty Enhancement Act » du 15 juillet 2004 qui prohibe toute utilisation du nom d‟un tiers sans autorisation53. L‟idée de sanctionner l‟usurpation d‟identité numérique fait son chemin et il est probable que dans un avenir proche, une majorité d‟États viennent sanctionner cette action. Cela apparaît de plus en plus essentiel compte tenu de l‟importance de celle-ci. Il convient de garder un juste équilibre entre la protection de la vie privée et « les besoins d’interaction générés par le développement de l’économie numérique »54. Comme à chaque fois que plusieurs droits et intérêts sont en conflit, il appartient au législateur (ou à la jurisprudence dans certains cas) de trouver ce juste équilibre. 52 « Fraud by false representation :(1) A person is in breach of this section if he :(a) dishonestly makes a false representation, and (b) intends, by making the representation. B (i) to make a gain for himself or another, or (ii) to cause loss to another or to expose another to a risk of loss. (2) A representation is false if (a) it is untrue or misleading, and (b) the person making it knows that it is, or might be, untrue or misleading. (3) “Representation” means any representation as to fact or law, including a representation as to the state of mind of (a) the person making the representation, or (b) any other person. (4) A representation may be express or implied. (5) For the purposes of this section a representation may be regarded as made if it (or anything implying it) is submitted in any form to any system or device designed to receive, convey or respond to communications (with or without human intervention) ». 53 Section 1, paragraphe 1028A, (a) : « Whoever, during and in relation to any felony violation enumerated in subsection (c), knowingly transfers, possesses, or uses, without lawful authority, a means of identification of another person shall, in addition to the punishment provided for such felony, be sentenced to a term of imprisonment of 2 years ». 54 MARIEZ (J-S.), « Un premier pas vers la mise en place d‟un dispositif pertinent de lutte contre l‟usurpation d‟identité sur internet ? », RLDI, n°43, 2008. 69 C‟est ce qui est demandé dans le cadre de la lutte contre le téléchargement illicite : préserver au mieux la vie privée des internautes tout en permettant aux titulaires de droits de propriété intellectuelle de protéger leurs droits en poursuivant les contrefacteurs. Ce juste équilibre, notamment consacré par le Conseil Constitutionnel55 et la Cour de Justice des Communautés européennes56, est par la même applicable en la matière. Il est très difficile de trouve cet équilibre. Les besoins d‟interaction générés par le développement de l‟économie numérique sont par définition en plein développement. Ils sont donc difficiles à définir. De ce fait, trouver une solution pour équilibrer les différents intérêts en jeu paraît impossible. En ce qui concerne précisément les réseaux sociaux, il convient d‟admettre qu‟il faut laisser une marge de manœuvre pour le traitement des données personnelles des utilisateurs. Le problème est que l‟utilisation des données personnelles par les réseaux est en pleine extension. Il est donc difficile, voire impossible, de fixer un cadre cohérent sans porter une atteinte grave à la vie privée des internautes. Le risque imminent qu‟encourent les utilisateurs de réseaux sociaux résulte d‟une éventuelle interopérabilité des différents réseaux sociaux. 55 Décision du Conseil Constitutionnel n°2004-499 DC du 29 juillet 2004. 56 CJCE affaire C-275/06 du 29 janvier 2008 Productores de Musica de Espana (Promusicae) c/ Telefonica de Espana SAU. 70 Section 2 Ŕ Vers la portabilité des données. Le phénomène des réseaux sociaux est arrivé à maturité. Le système est au point avec un succès considérable. Il est donc temps pour les opérateurs de faire évoluer leur plateforme. L‟enjeu d‟avenir des réseaux sociaux est l‟interopérabilité et la portabilité des données. C‟est la volonté du World Wide Web Consortium ou W3C. Le W3C est un organisme, créé en 1994, de standardisation à but non lucratif. Il a pour but de promouvoir la compatibilité des technologies de l‟Internet. Il développe des protocoles et édicte des lignes de conduite afin d‟assurer un développement à long terme du web57. Il est composé d‟environ 400 organisations représentants les différentes parties du monde. 35% de ces organisations sont nord-américaines, 8,8% sont du Royaume-Uni, 7,3% sont japonaises. La France n‟arrive qu‟en septième position avec 3,4%. Le grand public est invité à participer au consortium. En raison du rôle essentiel joué par les internautes, il est normal qu‟ils aient leur mot à dire. Les internautes sont donc invités à participer aux discussions via les campagnes du W3C par mail ; ils sont ainsi invités à se joindre aux groupes de travail. Cette organisation n‟a aucun pouvoir normatif mais émet des recommandations, qui s‟avèrent être suivies dans leur majorité. Le W3C a mis en place un groupe de travail sur les réseaux sociaux qui a rendu un rapport final sur l‟avenir de ces réseaux les 15 et 16 janvier 2009. La principale proposition de ce rapport est une « architecture décentralisée » des réseaux sociaux. Un univers où les données des utilisateurs pourront être plus librement en circulation. Le W3C part du principe que les internautes s‟inscrivent de plus en plus à des sites internet, et notamment aux réseaux sociaux. Afin de faciliter la tâche de l‟internaute et donc de l‟encourager à s‟inscrire toujours plus, pour le bien de l‟économie numérique, le W3C considère que le partage des informations est capital. Cela permettrait à l‟internaute de ne s‟inscrire qu‟une fois. Les informations seront alors partagées avec tous les autres sites auxquels il souhaite s‟inscrire. Il n‟aura donc pas à redonner toutes ses informations dans un 57 Le consortium présente ses fonctions en ces termes : « To lead the World Wide Web to its full potential by developing protocols and guidelines that ensure long-term growth for the Web ». 71 nouveau formulaire. De même, une fois inscrit à plusieurs réseaux sociaux, lorsqu‟il souhaitera changer une information sur l‟un des réseaux, celle-ci sera transférée aux autres réseaux et changée automatiquement sur tous les réseaux sociaux auxquels l‟internaute est inscrit. Un gain de temps formidable pour l‟internaute. Quelques initiatives on été mises en place. OpenID, FOAF (Friend of a friend), XFN par exemple. L‟inscription à l‟un de ses protocoles permet à l‟internaute de se créer une identité virtuelle. Elle sera identique quel que soit le site visité par l‟internaute (encore faut-il que les sites participent à ces protocoles). Le W3C pose alors 2 questions : quel intérêt économique pour les réseaux sociaux ? Et quelle protection pour les données personnelles et la vie privée des utilisateurs ? Pour ce qui est de l‟intérêt économique de cette décentralisation, le W3C considère que l‟avenir réside dans les méthodes de micro-paiements. Il s‟agit dans un avenir proche de standardiser ces méthodes afin d‟aboutir à un modèle économique pérenne des réseaux sociaux. En ce qui concerne la protection des données personnelles, la solution n‟est pas donnée. Le W3C garde cette idée de protection et de confiance tout au long de son travail et assure qu‟il s‟agit d‟une priorité. Le fait est que cette protection n‟est pas encore assurée de façon certaine. Aucune mesure actuellement ne permet de protéger les données. Et, étonnement ce sont les réseaux sociaux eux-mêmes qui freinent la démarche. Le co-président du groupe de travail sur les réseaux sociaux du W3C, Dominique Hazael-Massieux, dit lui-même : « Ils [les réseaux sociaux] essaient de garder le contrôle sur les données personnelles. Ils acceptent en revanche le partage avec d’autres services, mais refusent d’intégrer d’autres sources dans leurs bases » […] « le moment est venu pour les différents acteurs des réseaux sociaux de travailler ensemble pour abattre les barrières qui bloquent la croissance et la stabilité de l’industrie » […] « tous les utilisateurs de réseaux sociaux, et particulièrement les plus jeunes, attendent une expérience sociale la plus riche possible mais avec une mobilité, une accessibilité et une sécurité totales ». Une autre organisation s‟est mise en place : DataPortability. Créé en novembre 2007, il s‟agit d‟un groupe de discussion sur la portabilité des données et ses enjeux. L‟organisme ne vise pas à développer, à la différence du W3C, de nouveaux standards. Il souhaite s‟appuyer sur des technologies existantes pour favoriser la portabilité des données. Parmi ces technologies existantes on trouve Open ID, qui permet de créer un compte unique pour plusieurs sites. On trouve aussi un acteur actif : Open Social de Google qui propose une série 72 d‟interfaces de programmation (ou API) pour aider les développeurs à créer des applications compatibles pour les réseaux sociaux. L‟exemple en est du site du Vatican : Pope to you. Il s‟agit d‟un site dont une application peut-être faite sur Facebook et Twitter notamment. Cette portabilité entraine déjà une guerre sans merci entre les géants de l‟Internet. Google tente tant bien que mal de s‟imposer sur le marché des réseaux sociaux. Son réseau Orkut a, en dehors du Brésil, beaucoup de mal à s‟imposer. Par la création d‟Open Social, Google entend relier plusieurs millions d‟utilisateurs à son réseau. En effet, sont partenaires MySpace, LinkedIn, Friendster, Viadéo et Hi5 (entre autres). L‟une des applications d‟Open Social est Friend Connect, qui permet de multiplier les interactions entre internautes. Facebook a catégoriquement refusé de rejoindre cette application considérant qu‟elle redistribuait les informations de ses utilisateurs sans leur consentement et cela était contraire à la politique de Facebook. Facebook qui, par ailleurs, tente de développer tant bien que mal Facebook Connect, rival d‟Open Social. La portabilité des données est donc encore en développement. C‟est MySpace qui apparait être le plus en pointe sur la question. L‟option DataAvailability a été mise en place début 2008. Elle permet aux utilisateurs du réseau de transférer certaines données à des sites partenaires tels que Yahoo !, eBay, Twitter. Le président de MySpace a déclaré à l‟occasion : « nous sommes les pionniers d’un Internet plus ouvert ». L‟idée de base est réellement la possibilité de partager les données personnelles de l‟utilisateur pour le bien-être de celui-ci. Pourtant, cela semble se faire en contradiction avec les lois et règlements en vigueur sur la protection des données personnelles. Des problèmes non résolus se posent : le consentement de l‟utilisateur. Chaque utilisateur devra donner son consentement au traitement des données par le réseau social auquel il s‟inscrit puis son consentement au transfert de ses données aux différents sites partenaires ainsi qu‟au traitement de ses données par ces derniers. Pour que ce consentement soit « éclairé », l‟utilisateur doit être informé de la finalité de chacun des traitements et de la législation applicable à chacun des traitements. Il doit par ailleurs savoir quelles données seront transférées. Connaissant la volonté d‟information des réseaux sociaux, il est peu probable que l‟utilisateur soit informé de tout cela. L‟utilisateur donne donc son consentement, certes, mais à quoi ? Il n‟en a aucune idée. Par ailleurs, la question de la validité des conditions générales d‟utilisation (pouvant être reconnues comme abusives et donc annulées par un juge) reste posée. Que penser alors d‟une clause permettant le transfert de données vers d‟autres sites : est-elle abusive ? Les 73 données seront alors soumises à d‟autres conditions générales d‟utilisation dont l‟utilisateur n‟aura pas eu connaissance et il n‟aura donc pas contracté avec le réseau social. La protection des données apparait donc compromise par un « communisme numérique » dont la motivation est paradoxalement le bien de l‟internaute. 74 CONCLUSION Les réseaux sociaux représentent un enjeu majeur de l‟Internet 2.0. Au cœur de cet enjeu : les données personnelles des internautes qui, dans un monde où l‟économie numérique prend de plus en plus de place, sont de plus en plus nombreuses. Elles représentent un enjeu économique énorme pour ces réseaux. Leur modèle économique ne repose que sur ces données. Le fait est que l‟argent l‟emporte sur la vie privée. Aucune protection n‟est assurée aux données personnelles des utilisateurs de réseaux sociaux. Un dispositif complet est censé protéger ces données. Encore faut-il que celui-ci soit respecté. Ce qui n‟est pas le cas. Les difficultés de contrôle du traitement des données et de preuves en cas de non respect des règles font que peu d‟affaires sont portées devant les juges qui par ailleurs ne condamnent que rarement. Une solution simples serait de porter les conditions générales d‟utilisation devant un juge afin d‟évaluer la licéité de celles-ci. En outre, l‟avenir des réseaux sociaux ne présage rien de bon pour la protection des données personnelle : la portabilité des données représente un risque majeur dans la mesure où elle permettrait des traitements des données par de nombreux responsables et ce sans l‟accord des internautes. De nombreuses recommandations s‟imposent alors en attendant un cadre plus strict et déterminé s‟appliquant aux réseaux sociaux. Tout d‟abord, les utilisateurs devraient réfléchir aux données qu‟ils publient sur les réseaux sociaux et la portée de celles-ci. En particulier les photos ou numéros de téléphone. Ils doivent en outre préserver la vie privée des autres et ne jamais publier d‟informations personnelles sur des tiers. Pour ce qui est des réseaux sociaux, afin d‟une plus grande clarté, ils devraient appliquer les lois et règlements en vigueur dans les pays où fonctionnent leurs services. Ils devraient en outre informer en toute clarté et transparence les utilisateurs sur le traitement de leurs données personnelles, ainsi que sur les éventuelles conséquences de la publication de leurs données. Ensuite, la technique de l‟opt-in devrait être généralisée à toutes les données afin d‟assurer une protection maximale à l‟utilisateur. 75 Les systèmes de protection des données devraient être constamment développés pour assurer une protection face à une cybercriminalité sans cesse en progression. En particulier, assurer une plus grande protection des données publiées sur les profils, notamment le contrôle des données utilisées par les moteurs de recherche. Le droit à l‟oubli, obsolète en l‟état actuel des choses, doit pouvoir être assuré au mieux, notamment en permettant de résilier facilement leur adhésion. En attendant que les instances, notamment le Groupe de l‟article 29 qui devrait rendre son avis à l‟automne 2009, prennent des décisions claires concernant les réseaux sociaux, c‟est aux utilisateurs de protéger leurs données personnelles. 76 BIBLIOGRAPHIE OUVRAGES GÉNÉRAUX ET SPÉCIALISÉS - BUREAU (D.) et MUIR WATT (H.), Droit international privé, PUF, Paris 2007. - CALÉ (S.) et TOUITOU (P.), La sécurité informatique, Lavoisier, Paris, 2007. - DEVÈZE (J.), FRAYSSINET (J.), et LUCAS (A.), Droit de l’informatique et de l’Internet, PUF, Paris, 2001. - GERVAIS (J-F.), WEB 2.0 Les internautes au pouvoir, Dunod, Paris, 2007. - MAIGRET (E.), Sociologie de la communication et des médias, Armand Colin, Paris, 2003. - VERBIEST (T.), Le nouveau droit du commerce électronique, L.G.D.J, Bruxelles, 2005. - VIGNAL (T.), Droit international Privé, Armand Colin, Paris, 2005. ARTICLES, CONTRIBUTIONS, INTERVENTIONS ET DOSSIERS - « La protection internationale des données personnelles sur l‟Internet », http://www.isoc.fr/laprotection-internationale-des-donnes-personnelles-sur-l-internet-article0095.html, le 20 septembre 2008. « Les - réseaux sociaux sont prêts à plus d‟échanges », http://www.01net.com/editorial/369119/les-reseaux-sociaux-prets-a-plus-dechanges/, le 10 janvier 2008. - « Réseaux sociaux : l‟anonymat ne garantit pas le respect de la vie privée », http://www.atelier.fr/securite/10/23032009/reseaux-sociaux-reseau-social-anonymat-vieprivee-donnees--38010-.html, le 23 mars 2009. - Groupe de l‟article 29, « Avis 4/2007 sur le concept de données à caractère personnel », http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_fr.pdf, le 24 janvier 2009. - AFIRI (M.), « La sécurité des réseaux sociaux en question », http://www.cnetfrance.fr/produits/applications/securite-reseaux-sociaux-39379951.htm, le 27 mars 2008. 77 - AGUILA (N.), « Les dangers des réseaux sociaux », http://www.infos-du- net.com/actualite/11282-reseaux-sociaux.html, le 25 juillet 2007. - ANATRELLA (B.), « Propriété intellectuelle : création et internet, une confiance virtuelle ?, propos introductif », RLDI, n°47, 2009. - ASTOR (P.), « Réseaux sociaux : MySpace Data Availability veut organiser la portabilité des données de profil », http://www.zdnet.fr/actualites/internet/0,39020774,39380937,00.htm, le 11 mai 2008. - BARBRY (E.), « Responsabilité : une (r)évolution annoncée ? (propos introductif), RLDI, n°47, 2009. - BARREIRO (E.), « Le marché de la culture à l‟ère du numérique, un modèle économique à réinventer ! », RLDI, n°47, 2009. - BEKY (A.) : « Conditions de service : Facebook fait volte-face », http://www.neteco.com/258468-facebook-volte-face-conditions-service.html, le 18 février 2009. « Facebook et Beacon : Zuckerberg fait son mea culpa », http://www.neteco.com/87680-facebook-beacon-zuckerberg-mea-culpa.html, le 6 décembre 2007. « Facebook et LinkedIn augmentent leur audience », http://www.neteco.com/257880-facebook-linkedin-augmentent-audience.html, le 16 février 2009. « Facebook fait encore mieux que MySpace », http://www.neteco.com/257164- facebook-myspace.html, le 11 février 2009. « Facebook : “vos informations vous appartiennent” », http://www.neteco.com/258188-facebook-conditions-utilisation-zuckerberg-info.html, le 17 février 2009. « Twitter pourrait facturer l‟usage commercial de son service », http://www.neteco.com/257040-twitter-facturer-usage-commercialmicroblogging.html, le 11 février 2009. « Twitter, une nouvelle arme pour les terroristes ? », http://www.neteco.com/170918-twitter-nouvelle-arme-terroristes-fas.html, le 27 octobre 2008. « Twitter valorisé 250 millions de dollars ? », http://www.neteco.com/253358- twitter-valorise-250-millions-dollars.html, le 26 janvier 2009. 78 - BELFIORE (G.) : « Twitter est la cible d‟attaques de malware », http://www.neteco.com/154860- twitter-malware-virus.html, le 6 août 2008. « Twitter n‟a pas encore percé en Europe », http://www.neteco.com/251768- twitter-perce-europe.html, le 19 janvier 2009. - BELLEIL (A.), « La régulation économique des données personnelles ? », Légicom, n°42, 2009. - BIGET (S.), « MySpace ouvre la voie à l‟interopérabilité des réseaux sociaux », http://www.cnet.france.fr/news/internet/myspace-ouvre-la-voie-a-l-interoperabilite-desreseaux-sociaux-39380933.htm, le 9 mai 2008. - BONDU (J.) et GARNIER (A.), « L‟impact des réseaux sociaux », http://ddata.overblog.com/xxxyyy/0/11/43/63/Benchmarking-IE/Livre-blanc_reseaux-sociaux3.pdf, février 2009. - BOUTEILLER (J.) : « Facebook et MySpace se lancent dans la publicité comportementale », http://www.neteco.com/85066-facebook-myspace-lancent-publicitecomportementale.html, le 7 novembre 2007. « Les comptes Twitter de Britney Spears et d‟Obama ont été piratés », http://www.neteco.com/249664-comptes-twitter-britney-spears-obama-pirates.html, le 7 janvier 2009. - CHABANNE (A.), CHAVARRO (E.), COUMET (C.), « Le statut juridique de l‟adresse IP », présentation Powerpoint à l‟IREDIC, Faculté de droit d‟Aix en Provence, le 4 février 2009. - CHABERT (C.), « Jurisprudence : à l‟honneur en 2008 », RLDI, n°47, 2009. - CHAUSSON (C.), « Le W3C veut des réseaux sociaux plus distribués, interopérables et accessibles », http://www.lemagit.fr/article/reseaux-sociaux-interoperabilite-donnees- personnelles-w3c/2471/1/le-w3c-veut-des-reseaux-sociaux-plus-distribues-interoperablesaccessibles/, le 10 février 2009. - CLEMENT (D.), « Une loi US sur les données personnelles et les entreprises », http://www.generation-nt.com/projet-loi-americain-obliger-entreprises-divulguer-toute-failledans-protection-donnees-personnelles-csia-actualite-21864.html, le 9 février 2007. - DAVIAUD (I.), « Les impacts et les risques de la diffusion d‟informations sur l‟entreprise sur des blogs, forums et réseaux sociaux : comment gérer l‟é-réputation des entreprises ? », RLDI, n°47, 2009. 79 - DEPIERRE (F.), « Vos données personnelles et les réseaux sociaux », http://www.vigilia.org/2009/01/donnee-personnelles-reseau-sociaux.html, le 14 janvier 2009. - DERIEUX (E.), „Internet et protection des données personnelles », RLDI, n°38, 2008. - ELKAÏM (Y.), « Hébergeur ? éditeur ? les deux ? », RLDI, n°47, 2009. - FAYON (D.), « Les réseaux sociaux à la croisée des chemins », http://david.fayon.free.fr/stock/reseaux-sociaux.htm, le 17 mai 2008. - FAYE (de la) (P.), « Focus sur les sanctions prononcées par la CNIL en 2006/2007 », RLDI, n°47, 2009. - FRAYSSINET (J.) : « La régulation de la protection des données personnelles », Légicom, n°42, 2009. « La régulation du respect de la loi informatique, fichiers et libertés par le droit pénal : une épée en bois », Légicom, n°42, 2009. - GAUTIER (P-Y.), « Réseaux sociaux sur l‟internet, données personnelles et droit des contrats », Recueil Dalloz, n°9, 2009. - GALY (I.), « E-commerce : le consommateur au cœur de l‟économie numérique. Propos introductif », RLDI, N°47, 2009. - GIRARDEAU (A.), « Si vous n‟acceptez pas l‟utilisation de vos données personnelles à des fins publicitaires, cliquez ici », http://www.ecrans.fr/Si-vous-n-acceptez-pas-1,3684.html, le 20 mars 2008. - HAAS (G.), « L‟identité usurpée sur internet : vide juridique », RLDI, n°47, 2009. - HADDAD (A.), « Le “Oprah Effect” : +43% de croissance pour Twitter », http://fr.mashable.com/2009/04/21/le-oprah-effect-43-de-croissance-pour-twitter/, le 21 avril 2009. - HUET (J.) et LECLERCQ (P.), « La CNIL a-t-elle accompli les missions dévolues par le législateur ? », Légicom, n°42, 2009. - KERBOUC‟H (J.Y.), « La protection des données à caractère personnel des salariés », Légicom, n°42, 2009. - LAURENT (A.), « Facebook aurait tenté de racheter Twitter pour… 500 millions $ », http://www.neteco.com/241758-facebook-racheter-twitter-500.html, le 24 novembre 2008. - LE GRAND (G.), « Les travaux de la CNIL sur les moteurs de recherche », RLDI, n°47, 2009. 80 - LE TOQUIN (J-C.), « Lutte contre le cybercrime : la France est-elle un modèle pour l‟Europe ? », RLDI, n°47, 2009. - MALLET-POUJOL (N.), « Big Brother et Anastasie au chevet du droit d‟auteur : réflexions sur le projet de loi « Création et Internet » », Légicom, n°42, 2009. - MARIEZ (J-S.), « Un premier pas vers la mise en place d‟un dispositif pertinent de lutte contre l‟usurpation d‟identité sur internet ? », RLDI, n°43,2008. - MOURON (P.), « Internet et identité virtuelle des personnes », Revue de la recherche juridique – Droit prospectif, n°124, 2008. - MUENCHINGER (N.), « Transfert de données personnelles vers les Etats-Unis : peut-on échapper aux principes de “Safe Harbor” ? », http://www.journaldunet.com/juridique010731.shtml, le 31 juillet 2001. - NERBONNE (S.), « Le groupe de l‟article 29 est-il en mesure de s‟imposer comme le régulateur des régulateurs par ses prises de position ? », Légicom, n°42, 2009. - PFRUNDER (F.), « L‟e-consommateur a-t-il encore besoin d‟être protégé ? », RLDI, N°47,2009. - POULLET (Y.), « La loi des données à caractère personnel : un enjeu fondamental pour nos sociétés et nos démocraties ? », Légicom, n°42, 2009. - PROUST (O.), « Réseaux sociaux : quels risques pour les internautes ? », http://www.lepoint.fr/actualites-societe/reseaux-sociaux-quels-risques-pour-lesinternautes/1597/0/269912, le 29 août 2008. - QUÉMÉNER (M.), « Bilan législatif et jurisprudentiel 2008 », RLDI, n°47, 2009. - RASLE (B.), « Correspondant informatique et libertés (CIL) et régulation », Légicom, n°42, 2009. - RODIC (Y.), « Comment les réseaux sociaux changent la vie », http://largeur.com/expArt.asp?artID=1930, le 27 septembre 2005. - TABAKA (B.), « La responsabilité des intermédiaires de l‟internet : vers une généralisation des chartes d‟engagements ? », RLDI, n°47, 2009. - TAFT (D.K.), « Le W3C préconise l‟interopérabilité des réseaux sociaux », http://www.eweekeurope.fr/news/le-w3c-preconise-l-interoperabilite-des-reseaux-sociaux-608, le 5 février 2009. - THOUMYRE (L.), « La politique de MySpace pour la création », RLDI, n°47, 2009. 81 SITES INTERNET http://dataportability.org www.01net.com www.123people.fr www.assemblee-nationale.fr www.cnil.fr www.ec.europa.eu www.eto.fr www.export.gov www.facebook.com www.labelsite.org www.laposte.net www.legalbiznext.com www.legalis.net www.legifrance.gouv.fr www.letelegramme.com www.lexinter.net www.linkedin.com www.myspace.com www.openid.net www.orkut.com www.privacyconference2008.org www.privacyinternational.org www.senat.fr www.spock.com www.truste.org www.twitter.com 82 www.viadeo.com www.w3.org www.wikipedia.fr www.zdnet.fr www.zoominfo.com 83 TABLE DES MATIÈRES REMERCIEMENTS .......................................................................................................... SOMMAIRE ....................................................................................................................... INTRODUCTION ............................................................................................................ 1 TITRE 1 - UN PHÉNOMÈNE MONDIAL AUX ENJEUX MULTIPLES. ............. 12 CHAPITRE 1 - DONNÉES PERSONNELLES : UN ENJEU ÉCONOMIQUE MAJEUR. ................. 13 Section 1 - Le paradoxe d‟un succès mondial à faible rentabilité. ....................... 14 §1 Ŕ Un modèle de gratuité mis à mal. ................................................................. 14 A- Des revenus publicitaires insuffisants. ....................................................... 14 B- De nombreux services non exploités. ........................................................ 15 §2 Ŕ Vers un service payant ? ............................................................................... 16 A- Des modèles économiques mixtes. ............................................................ 16 B- Les risques d‟un modèle payant. ................................................................ 17 Section 2 - Des données de grande valeur. ........................................................... 18 §1 Ŕ Une mine d‟or à la disposition des hébergeurs. ............................................ 18 A- Les données confiées consciemment. ........................................................ 18 B- Les données livrées involontairement. ....................................................... 19 §2 Ŕ Une mine d‟or à la disposition des annonceurs. ........................................... 21 A- Un profilage complet de l‟internaute. ........................................................ 21 B- Le développement important des publicités ciblées. ................................. 22 CHAPITRE 2 - LE TRAITEMENT INTERNATIONAL DES DONNÉES : D‟IMPORTANTES DIFFICULTÉS JURIDIQUES. ....................................................................................................... 25 Section 1 - Des modèles de protection radicalement différents. .......................... 26 §1 Ŕ France : un imbroglio de textes nuisant à l‟efficacité de la protection. ........ 26 A- Une multiplicité des sources. ..................................................................... 26 B- Une jurisprudence peu efficace. ................................................................. 29 §2 Ŕ États-Unis : une absence de mesures de protection des données. ................ 30 A- Des projets au niveau fédéral. .................................................................... 30 B- Une distorsion importante des systèmes de protection. ............................. 32 Section 2 - Une délicate détermination de la loi applicable. ................................ 33 §1 Ŕ Un régime juridique différent pour chaque étape du traitement de données.33 A- Application du droit international privé. .................................................... 33 84 B- À chaque action son régime juridique. ...................................................... 38 §2 Ŕ Safe Harbor : outil essentiel de collaboration internationale........................ 40 A- Présentation du Safe Harbor. ..................................................................... 40 B- Une réponse aux exigences européennes. .................................................. 41 TITRE 2 – UN PHÉNOMÈNE MONDIAL COMPORTANT DE NOMBREUX RISQUES. ................................................................................................................................. 45 CHAPITRE 1 Ŕ UNE PORTE D‟ACCÈS POUR LES CYBERCRIMINELS. .................................. 46 Section 1 Ŕ Le cas des éditeurs tiers hébergés sur le réseau social. ..................... 47 §1 Ŕ Une plus value pour l‟utilisateur. ................................................................. 47 A- Un attrait majeur des différentes applications. .......................................... 47 B- Un moyen de communication sans faille. .................................................. 48 §2 Ŕ Un danger supplémentaire pour l‟utilisateur. ............................................... 49 A- De nombreuses informations supplémentaires collectées.......................... 49 B- Aucune possibilité de contrôle a priori de la bonne foi de l‟éditeur. ........ 50 Section 2 Ŕ Une aubaine pour les pirates du net. .................................................. 51 §1 Ŕ Une facilité d‟accès aux différentes informations. ....................................... 51 §2 Ŕ De nombreuses menaces............................................................................... 52 CHAPITRE 2 Ŕ L‟IDENTITÉ NUMÉRIQUE : NOTION AU CŒUR DES QUESTIONS D‟AVENIR DES RÉSEAUX SOCIAUX. .......................................................................................................... 58 Section 1 Ŕ Vers la reconnaissance d‟une infraction d‟« usurpation d‟identité ». 59 §1 Ŕ Une importance croissante de la notion d‟identité virtuelle. ........................ 59 A- De l‟« identité humaine » à l‟identité virtuelle. ......................................... 59 B- Le rôle des réseaux sociaux dans l‟affirmation de l‟identité virtuelle. ...... 62 §2 Ŕ L‟usurpation d‟identité numérique : un vide juridique................................. 63 A- Présentation de l‟usurpation d‟identité numérique. ................................... 63 B- Un vide juridique à combler. ..................................................................... 67 Section 2 Ŕ Vers la portabilité des données. ......................................................... 71 CONCLUSION ............................................................................................................... 75 BIBLIOGRAPHIE ......................................................................................................... 77 TABLE DES MATIÈRES ............................................................................................. 84 85