Les problèmes juridiques des logiciels indiscrets

By 26 December 2012

Université MONTPELLIER 1
Faculté de Droit

Mémoire de D.E.A Informatique et Droit

Les problèmes juridiques des logiciels indiscrets

Sous la direction du
Professeur Christian Le Stanc

Présenté par : Benjamin Egret

Formation Doctorale : Informatique et Droit
Equipe de Recherche Informatique et Droit (E.A.2997)

Section du CNU : 01 Droit privé et sciences criminelles.71 Science de l’information et de la Communication

E.R.I.D.

Ce mémoire provient du site www.droit-ntic.com

Remerciements :
Je tiens à remercier Monsieur Bibent pour m’avoir donné l’opportunité de suivre les cours de son DEA ainsi que Monsieur Le Stanc pour sa disponibilité.

Résumé français

Le développement conjugué de l’informatique et de l’Internet a engendré de nouveaux problèmes juridiques ayant pour conséquence la violation des droits et libertés individuelles des personnes. Dans la société de l’information, les données sont de véritables marchandises et constituent des enjeux économiques très importants. En effet, les traces laissées par les internautes à chaque connexion constituent une véritable mine d’informations et a incité les principaux acteurs présents sur le Web à collecter l’ensemble de ces données. La collecte de ces données peut prendre différentes formes mais consiste généralement en la création d’un outil (logiciel) capable de récupérer les données d’un internaute afin notamment de pouvoir retracer son itinéraire sur Internet ou de créer un profil d’utilisateur (cookies). D’autres méthodes d’intrusion dans un système informatique peuvent prendre la forme d’un espiogiciel ou d’un troyen. L’Etat lui-même sera tenté de ficher l’ensemble de la population.

Mots Clés : Données personnelles / Collecte / Vie privée / Logiciels espions

The legal aspects of spywares

Résumé anglais

The combined development of computer science and Internet has generated new legal aspects having as a consequence the violation of people’s rights and individual freedoms. In the information society, the data are real goods and represent very important stakes. Actually, the marks left by the surfers at each connection constitute a true mine of information and this has encouraged the main actors present on the Web to collect all these data. This data collection can take various forms but usually consists of the creation of a tool (software) able to retrieve the data from a surfer in order to, notably, be able to lay out his itinerary on Internet or to create a user profile (cookies). Other methods of intrusion in a system can take the shape of a spyware or trojan. The State itself will be tempted to put the entire population on file.

Keywords : Personal data / Collection / Private life / Spyware

Introduction :

« Sur les pièces de monnaie, sur les timbres, sur les livres, sur les bannières, sur les affiches, sur les paquets de cigarettes, partout ! Toujours ces yeux qui vous observaient, cette voix qui vous enveloppait. Dans le sommeil ou la veille, au travail ou à table, au-dedans ou au-dehors, au bain ou au lit, pas d’évasion. Vous ne possédiez rien, en dehors des quelques centimètres cubes de votre crâne. »1

1 (G. Orwell, 1984, Folio no 177, p.44)

Cette phrase, extraite de l’œuvre de Georges Orwell 1984, illustre tout à fait l’espionnage constant auquel nous sommes soumis sur Internet au mépris des droits et libertés individuelles (« Big Brother is watching you »). Plus de 50 ans après, l’œuvre d’Orwell est plus que jamais d’actualité.

Le phénomène de fichage n’est pas nouveau et la plupart des Etats ont toujours souhaité avoir la possibilité de ficher leur population. C’est le développement de l’informatique qui en a permis la réalisation. Dans les années 1970, le danger pour les droits et libertés se situe principalement au niveau de l’appareil étatique et de l’administration publique. Ainsi, en France, plusieurs projets gouvernementaux ont vu le jour : le projet GAMIN2 et le projet SAFARI3 sont les deux principaux.

2 Gestion Automatisée de Médecine Infantile
3 Système Automatisé de Fichiers Administratifs Répertoriant les Individus

Le projet GAMIN a été adopté en 1975, à l’initiative du ministère de la santé, et était relatif à la création d’un fichier informatique comprenant l’ensemble des femmes enceintes afin de mieux combattre la mortalité infantile. Ce projet a été mal présenté et devant une levée de boucliers de l’opinion publique, l’administration a dû l’abandonner.

Le projet SAFARI prévoyait d’instituer un identifiant unique pour interconnecter les fichiers administratifs. L’idée était d’utiliser le numéro de Sécurité Sociale afin de relier tous les services administratifs entre eux. Le 21/03/1974, un article du Monde « Safari ou la chasse aux français » dévoile le projet. Devant l’indignation que provoque ce projet, le premier ministre le retire et crée une commission présidée par Bernard Tricot dont la réflexion aboutira en 1978 à la loi « Informatique, fichiers et libertés ».

La surveillance s’étend subtilement, souvent à la suite de décisions et processus destinés à atteindre des objectifs tels que l’efficacité ou la productivité. Par ailleurs, son caractère électronique en augmente la subtilité. La plus grande partie de la surveillance se passe littéralement hors de la vue, dans le royaume des signaux numériques dans les transactions courantes, quand par exemple vous votez, téléphonez, conduisez ou travaillez. Autrement dit, les personnes savent rarement qu’ils font l’objet de surveillance, ou s’ils le savent, ils ne se doutent pas de l’étendue des renseignements que les autres détiennent sur eux.

La surveillance concerne les choses banales, ordinaires, naturelles de la vie qui consistent à retirer de l’argent à des guichets automatiques, à passer un coup de fil, à réclamer des prestations de maladie, à conduire une voiture, à utiliser une carte de crédit, à recevoir de la publicité importune, à aller emprunter des livres à la bibliothèque, ou à traverser une frontière lors de voyages à l’étranger. Dans chacune des activités mentionnées, les ordinateurs enregistrent nos transactions, comparent les détails connus, stockent des bribes de nos biographies, ou évaluent notre état financier, juridique ou national. Chaque fois que nous effectuons l’une de ces transactions, nous laissons ou sommes susceptibles de laisser trace de nos faits et gestes.

Les ordinateurs et leurs systèmes de communication connexes sont au coeur de tous ces types de relations. Participer à la société moderne signifie être sous surveillance électronique. Même une simple facture d’électricité peut trahir notre mode de vie.

Tom Wright, commissaire Canadien à l’information et à la protection de la vie privée imagine un scénario basé sur une technologie qui existe depuis longtemps aux Etats Unis : le RRPLS ou Realtime Residential Power Line Surveillance.

« Contrairement à la routine d’un ménage, l’un de ses occupants, un homme marié de 43 ans (selon son permis de conduire) se lève tôt un samedi matin, prend une douche, se rase avec son rasoir électrique et repasse quelques vêtements. Il achète de l’essence en ville, et au cours de la soirée paie deux repas et achète deux billets de théâtre (le tout avec sa carte de crédit). A son retour à la maison, il allume la chaîne stéréo (ce qui est rare selon son dossier RRPLS).

Le lendemain matin, les données indiquent une douche inhabituellement longue, suivie de deux utilisations d’un sèche-cheveux. La seconde est beaucoup plus longue qu’elle ne le devrait pour l’homme, indiquant qu’il a probablement partagé sa douche avec une personne aux longs cheveux.

Au même moment, les dossiers sur les transactions commerciales indiquent que l’épouse de l’occupant se trouve autour du monde en voyage d’affaires payé par son employeur. Les données RRPLS de sa chambre d’hôtel mentionnent également un visiteur nocturne. Quelques jours plus tard, le couple est inondé de publicités envoyées directement par des avocats spécialisés dans le divorce ».

L’identification :

L’ouverture de réseaux mondiaux a fait naître de nouveaux besoins : le besoin de s’identifier. A l’instar du fichage et de l’automatisation de l’information, Internet n’a pas inventé l’identification de l’individu mais sa progression fut si fulgurante qu’elle a engendré une vive prise de conscience collective.

Avec Internet, de nouveaux outils d’identification ont du être inventés et des instruments permettant de pister les internautes vont voir le jour. L’un des plus connus se nomme le cookie. C’est un fichier qui s’inscrit sur le disque dur d’un ordinateur connecté à Internet lors de la visite de certains sites Web. Ce fichier est inscrit par un serveur Web, afin de reconnaître l’utilisateur, lors de ses prochaines visites. Le cookie sera mis à jour à chaque consultation dudit site par l’internaute. L’identification de la machine, à travers son adresse IP4, peut mener directement à l’identification de l’utilisateur transformant des données techniques en données personnelles. Chaque fournisseur d’accès à Internet est en effet capable d’identifier les utilisateurs se trouvant derrière une adresse IP.

4 Internet Protocol : c’est le protocole de communication entre toutes les machines connectées à Internet

Il est difficile pour un internaute de ne pas s’identifier sur le réseau et la plupart des actions réalisées sur Internet nécessitent une identification : participation à un forum de discussion, abonnement à un service, commande d’un article sur un site marchand…

La nature numérique de l’information récoltée sur Internet rend cette identification aisée. La numérisation implique la transformation des données en éléments décryptables, consultables et modifiables par ordinateur. Chaque donnée ainsi collectée est envoyée à sa destination et ajoutée aux autres déjà retenues. A l’arrivée, l’information est reconstituée grâce aux recoupements des informations contenues dans l’ensemble des segments.

Enjeu du commerce électronique :

Le commerce électronique représente la « possibilité de faire des échanges de biens ou de services entre deux ou plusieurs participants (consommateurs finaux et entreprises) à travers un médium électronique (outils et techniques). Les participants, dans cette optique, doivent pouvoir y naviguer, emmagasiner, chercher, délivrer, échanger, contracter, payer…bref tout ce qui fait une transaction commerciale au sens large du terme »5

Le nombre d’internautes ne cesse d’augmenter. Selon une estimation de Médiamétrie6 réalisée en février 2002, il y avait environ 16.4 millions d’internautes en France. Internet attire les entreprises qui y voient un moyen de rester compétitives à l’heure de la mondialisation des marchés.

Internet offre aux entreprises un moyen d’identifier leur public. Avec 2,350 milliards d’euros pour l’année 20027, le marché français du commerce électronique grand public sur Internet a continué de progresser significativement en France. Grâce à des outils de suivie comme le cookie, les entreprises collectent, stockent, traitent et analysent les données personnelles qu’elles trouvent sur le réseau. Internet offre le terrain le plus avantageux pour faire prospérer l’identification au sens large.

5 Etude MIAGE : Les enjeux économiques du commerce électronique sur Internet
6 www.journaldunet.com/cc/01_internautes/inter_nbr_fr.shtml
7 Source : Jupiter MMXI, novembre 2001 (le marché B to C en France)

Données personnelles :

La convention 108 en donne une définition : « toute information concernant une personne physique identifiée ou identifiable ». Cette définition a été reprise par la directive communautaire du 24 octobre 1995. L’article 2-a de la directive en précise la portée : « est réputé identifiable une personne qui peut être identifiée directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. »

La loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés fait référence aux données nominatives qui recouvrent « les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent ».

Il n’y a pas de différence entre les termes données nominatives et données personnelles mais le second terme apparaît plus approprié que le premier.

Contrairement à la loi de 1978, la directive de 1995 est plus à même de s’appliquer dans le cadre de l’Internet. En effet, la collecte de données est chose courante et ne porte pas toujours sur des informations directement nominatives. La plupart du temps, il s’agit de données techniques, qui, prises individuellement, ne peuvent identifier une personne avec précision. Toutefois, la nuance apportée par le terme « identifiable » permet d’appréhender cette situation et les données techniques ne deviendront identifiables que lorsqu’elles feront l’objet d’un recoupement avec d’autres données et que l’identité de la personne concernée pourra être levée. C’est ainsi que les renseignements contenus dans un cookie peuvent être qualifiés sans trop de difficultés de données indirectement personnelles.

Pour tomber sous le coup de la loi de 1978 et de la directive de 1995, ces données personnelles doivent également faire l’objet d’un traitement. L’article 2-b en donne une définition : « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

Les données transitant sur Internet peuvent donc être qualifiées de données personnelles et font l’objet d’un traitement : l’application de la loi de 1978 et de la directive de 1995 leur sont donc applicables.

Vie privée :

Le concept de la vie privée s’est développé vers la fin du 19ème siècle. Plusieurs textes y font référence.

La Déclaration Universelle des droits de l’homme du 10 décembre 1948 dispose dans son article 12 : « Nul ne fera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteinte à son honneur ou à sa réputation »

La Convention Européenne des Droits de l’Homme et des libertés fondamentales du 4 novembre 1950, quant à elle, affirme dans son article 8 le droit au respect de la vie privée et familiale, du domicile et de la correspondance. De plus, une loi française du 17 juillet 1970 a introduit dans le Code Civil un article 9 ainsi rédigé : « Chacun a droit au respect de sa vie privée ».

Vu sous l’angle des données personnelles, la vie privée doit être protégée contre l’intrusion de l’Etat et contre l’arbitraire des grandes multi nationales. La loi de 1978 fait également référence à la vie privée dans son article premier qui énonce que «L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

La constitution quotidienne de méga bases de données comportementales contredit ce principe.

Les logiciels indiscrets posent donc plusieurs problèmes juridiques qui ont pour conséquence la perte de l’anonymat. Ces logiciels portent deux types d’atteintes : une atteinte aux biens (Partie 1) ainsi qu’une atteinte aux personnes (Partie 2).

Plan général :

Introduction
Partie 1 : Les logiciels indiscrets : une atteinte aux biens
Chapitre 1 : Les différentes techniques et contre techniques d’intrusion dans un système informatique
Section 1 : Les logiciels indiscrets les plus courants
Section 2 : Les troyens
Chapitre 2 : Le droit applicable et les différentes sanctions
Section 1 : La loi Godfrain
Section 2 : Les autres types de sanctions
Partie 2 : Les logiciels indiscrets : une atteinte aux personnes
Chapitre 1 : Une identité de plus en plus dévoilée
Section 1 : Une identification qui suscite de plus en plus de convoitises
Section 2 : Le but inavoué de ces pratiques
Chapitre 2 : Les règles applicables concernant la collecte de données personnelles
Section 1 : Les droits de la personne propriétaire des données
Section 2 : Les obligations du responsable du traitement
Conclusion

  1. Les cookies : les logiciels indiscrets les plus courants
  2. Les logiciels indiscrets: le spamming, les espiogiciels…
  3. Les mouchards : Software et Hardware
  4. Les troyens : Technique et Contre techniques – logiciel indiscret
  5. La loi Godfrain applicable aux atteintes aux biens
  6. Les atteintes directes, indirectes, et Carences – la loi Godfrain
  7. Cybercriminalité : le droit international et le droit civil français
  8. L’utilité du cookie lors du processus d’identification
  9. Les espiogiciels, un nouvel outil de collecte de l’information
  10. L’identification de l’internaute : Profiling et Fichage administratif
  11. La cybersurveillance du salarié
  12. Les droits de s’informer et d’accéder aux données personnelles
  13. Obligations du responsable du traitement de données personnelles