Publié le 23-02-2004 à 00:00:00 dans le thème Lois - Justice

Pays : Europe - Auteur : Damien Bancal

Pub : CD + DVD vierges - TV + Hifi. Cartouches d'encre - Console de jeux

Spy lover - L’espionnage sur Internet

Par Me Cahen

> Introduction

La pratique du sniff, qui consiste à intercepter les données circulant sur un réseau par un responsable de celui-ci, se heurte a différente législations destinées à protéger les données concernées. Celles-ci concernent à la fois la protection de la vie privée (I) et la protection des données à caractère personnel (II).

>> Protection des correspondances

Destinées à protéger tous les deux la vie privée, on observe une dissociation des régimes juridiques sur le sujet avec l’apparition d’une législation spécifique relative au secret des correspondances (A) qui vient compléter la législation générale relative à la vie privée (B).

A/ Le secret des correspondances
Les correspondances émises par la voie des télécommunications sont protégées par la loi du 10 juillet 1991, avant cette date, ce sont les dispositions relatives à la vie privée (notamment l’article 9 du Code Civil) qui fondaient leur régime de protection. Aujourd’hui le code Pénal prévoit dans son article 226-15 des sanctions aux atteintes au secret des correspondances.

L’article 226-15 dans son alinéa deux prévoit explicitement le cas des télécommunications en disposant " Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions. ".

Ces dispositions instaurent un régime strict de secret relatif à ces correspondances émises par la voie des télécommunications.

La peine prévue par l’article 226-15 alinéa premier concernant toute atteinte au secret des correspondances est " d'un an d'emprisonnement et de 45000 euros d'amende. ", on peut donc voir que les peines sont très lourdes.

En application de ces dispositions le principe est donc simple : il est interdit d’intercepter les correspondances. Ceci concerne donc sur un réseau d’école tous les mails qui circulent sur le réseau de l’école.

Le fait de prévoir de telles surveillances dans le règlement intérieur de l’école ne change rien au problème, la seule possibilité serait la divulgation par la personne de son courrier, mais ceci ne peut pas lui être imposé.

B/ La vie privée
La notion de vie privée prévue par l’article 9 du Code Civil est une notion a géométrie variable. En effet, elle n’est pas définie strictement pas les textes, il appartient donc au juge de définir au cas par cas son contenu. La jurisprudence estime qu’est illicite toute immixtion arbitraire dans la vie privée d’autrui et que le fait de se faire épier, surveiller et suivre est une immixtion illicite.

Concernant l’interception de données sur le réseau d’une entreprise on peut légitimement penser que l’interception des différentes communications telles que les chats par exemple sont clairement protégés par la vie privée, ensuite pour le reste l’interception du surf des internautes peut être, en fonction des circonstances, être rattaché ou non à la vie privée.

Le régime juridique permet comme pour le secret des correspondances de s’opposer à l’interception et à l’utilisation des éléments de la vie privée, l’article 9 du Code Civil autorise ainsi le juge à prendre toutes les mesures nécessaires pour faire cesser l’atteinte à la vie privée.

Le régime de la protection de la vie privée va permettre de combler les lacunes relatives au secret des correspondances qui ne protège qu’une partie des données circulant sur le réseau, la vie privée étant une notion plus large, elle permettra d’élargir le champ d’application et de protection de la loi.

Par conséquent l’école ne pourra pas sur son réseau intercepter les informations qui touchent à la vie privée.

Civ. 1re, 6 mars 1996 Civ. 1re , 25 janvier 2000 Loi n°78-17 du 6 janvier 1975 relative à l'informatique, aux fichiers et aux libertés Notamment : Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et Directive 97/66/CE du 15 décembre 1997 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des télécommunications.

>>> Protection des données personnelles

La notion de données à caractère personnel est une notion communautaire qui correspond à celle d’information nominative en droit interne. Elle recouvre toutes les informations concernant une personne identifiée ou identifiable.

On peut donc y placer des éléments très divers tels que l’adresse IP, le login et le mot de passe utilisateur, qui permettent en pratique d’identifier l’utilisateur de l’ordinateur.

Ces différentes données sont donc soumises à la loi informatique et libertés en droit interne et aux diverses directives communautaires sur le sujet.

La législation sur les données à caractère personnel n’empêche pas la collecte et l’utilisation de ces données, contrairement à la législation sur la vie privée et le secret des correspondances. L’objectif de ces textes est d’encadrer les traitements de ces données.

Si une entreprise par ses interceptions de données, capte et/ou utilise des données à caractère personnel ce qui est évident, car elle devra identifier les auteurs ou destinataires des données qu’elle intercepte, alors elle devra suivre les règles relatives à ces données qui se traduisent par deux aspects : les obligations de l’école (A) et les droits des personnes dont les données sont interceptées (B).

A/ Les obligations de l’entreprise interceptant les données

• Le principe de déclaration ou d’autorisation préalable : Tout traitement de données à caractère personnel, doit faire l’objet d’une déclaration préalable dans le cadre d’une entreprise de droit privé et d’autorisation préalable pour les établissements publics auprès de la commission nationale informatique et libertés. Cette déclaration ou autorisation doit préciser les caractéristiques du traitement notamment son contenu et sa finalité.
• Les données doivent être traitées loyalement et licitement : La notion de licéité ne fait pas de problème, c'est un simple renvoi aux textes. La loyauté renvoi à un examen au cas par cas du contexte et du comportement. Elle traduit le principe selon lequel il ne faut pas tromper les personnes concernées. En l’espèce l’école doit donc intercepter les données sans le cacher et ne pas non plus tenter de masquer l’utilisation réelle qui est faite des données collectées.
• Les données doivent être traitées pour des finalités déterminées, explicites et légitimes : La violation du principe de finalité est sanctionnée par la responsabilité de droit commun qui se traduira par une demande de dommage intérêts, mais en plus il peut y avoir un recoupement avec l'article 226-21 du code pénal qui sanctionne le détournement de finalité.
• Les données doivent être adéquates, non excessives et pertinentes au regard de la finalité
• Les données doivent être exactes et si nécessaires mises à jour

• Les informations ne doivent être conservées que le temps nécessaire à la réalisation de la finalité
• Obligation d'information : Cette obligation a pour but d'établir une certaine transparence. Le responsable du traitement doit donner des informations aux personnes concernées. Ces informations doivent permettre à la personne concernée de connaître l'existence du traitement et donc de mettre en oeuvre tous leurs autres droits.

B/ Les droits des personnes dont les données sont interceptées

Le salarié doit avoir la capacité de contrôler ce qui est fait des informations qui sont interceptées et qui le concerne, ainsi que de contrôler leur qualité. Mais il s’agit d’un droit qui implique une attitude active de sa part.

• Le droit de s'informer : Le salarié peut demander à son patron si elle traite des données à caractère personnel à son sujet. Si l’entreprise refuse de répondre à la demande, elle s'expose à une contravention de 5ème catégorie.
• Le droit d'accès à l'information : Toute personne a le droit d'accéder à toutes les données personnelles le concernant, et faisant l'objet d'un traitement. C’est le droit principal du salarié concernée par l’interception. Il va donc pouvoir consulter auprès de l’entreprise, l’ensemble des données qu’elle detient à son sujet. Il n’y a pas de conditions particulières à cette demande, le salarié peut donc choisir la forme de sa demande.
• Le droit de contestation et d'obtenir rectification des données personnelles le concernant
• Le droit de s'opposer au traitement de données à caractère personnel : Toute personne physique a le droit de s'opposer pour des raisons légitimes à ce que des données nominatives le concernant fassent l'objet d'un traitement. Avant comme pendant, à tout moment, même si l'on a accepté avant. La loi n'impose pas une information pour dire qu'il existe un droit d'opposition. Le non respect de ce droit est puni par 5 ans d'emprisonnement et 300.000 euros d'amende.

Article 27 de la loi de 1978 et articles 10 et 11 de la directive de 1995. Article 34 de la loi de 1978 et article 12 de la directive de 1995 décret du 23 décembre 1981, en cas de violation de certaines dispositions de la loi de 1978 (articles 226-16 à 226-24 du Code Pénal) Article 35 de la loi de 1978 et article 12 de la directive. Article 36 de la loi de 1978 et article 12 de la directive Article 26 de la loi de 1978 et article 14 de la directive. Article 226-18 du Code Pénal

>>>> Conclusion

On voit donc à travers ce panorama des réglementations s’appliquant dans le cadre de l’interception des données par une école sur son réseau, que au-delà des données qui sont parfaitement interdites de conserver les autres données obéissent à un régime très contraignant. Par conséquent l’intérêt d’une telle interception est bien faible par rapport aux risques pris. La quasi-totalité des violations des textes vu précédemment sont sanctionnées par des peines pénales de prison ou d’amende, mais parallèlement à ces peines, les victimes de ces violations pourront réclamer à l’école des dommages intérêts pour d’éventuels préjudices subis.

Sniffer, kesako ?

Le Top 10 des menaces de juillet 2008

Les analystes BitDefender ont publié aujourd’hui le Top 10 des e-menaces les plus répandues sur le mois de juillet.

Lesarnaques.com nouvelle version

Le site, lesarnaques.com change. Nouvelles rubriques et des des aides pour les démarches des Internautes.

GNU/Linux magazine HS 38: Electronique, domotique et embarqué avec Linux

GNU/Linux et les logiciels libres ne sont pas qu'une affaire de serveurs et d'environnements de bureau. La preuve avec le nouveau HS de GNU/Linux magazine.

Après CNN, MSNBC nouvelle cible Stormique !

La semaine dernière, des pirates informatiques s'étaient amusés à diffuser un virus via les couleurs de CNN. Depuis peu, voici venir MSNBC.

Chat spécial avec SII

Le prochain chat Lesjeudis.com aura lieu le 4 septembre avec SII. Cette information pourrait intéresser votre audience.

World Cyber Games 2008

Du 26 au 28 septembre à Paris, Parc des expositions de la Porte de Versailles, Pavillon 6.

100 photos de Reza pour la liberté de la presse

100 photos de Reza pour la liberté de la presse. Le nouvel album de Reporters Sans Frontiére sera disponible dès le jeudi 25 septembre 2008.

Outil de chiffrement open source pour Google

KeyCzar, le projet open source de Google à la sauce cryptage et chiffrement des données.

Trop de copieurs, la justice allemande baisse les bras

La justice Allemande va s'intéresser aux copieurs qui font du business et décide de laisser tranquille les milliers d'internautes consommateurs de copies.

WizzGo, un magnétoscope numérique en ligne Interdit de M6

Métropole Télévision, M6 et W9 viennent de faire interdire l'option enregistrement du magnétoscope numérique en ligne WizzGo.

Champions League: Des fans revendent des places sur eBay

Le club de football du Standard de Liège a fait stopper des ventes de billets sur le site d'enchéres eBay.

Un internaute arrêté après des menaces sur Youtube

Un internaute américain annonçait sur Youtube avoir empoisonné des petits pots pour bébé. Il risque de finir sans dents !

Un pourri informatique dans le monde des subprimes

Les subprimes, ces crédits immobiliers qui font le malheur de millions d'américains auront profité à un pirate informatique.

Fuite pirate, UbiSoft bouche un trou

L'éditeur de jeu vidéo s'attaque à un de ses anciens partenaires et lui réclame 10 millions de dollars après la diffusion d'une version pirate du jeu Assassin's Creed.

Deux pirates vendent leur botnet 25.000 euros

La police néerlandaise a arrêté deux frères soupçonnés d'avoir diriger un botnet contrôlant plus de 50.000 ordinateurs.

11 pirates inculpés pour le piratage de CB

Onze pirates informatiques ont été inculpés pour le vol et la revente de quelque 40 millions de numéros de cartes de crédit.

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.