Iris Documents / Rapport-LSI /


3. Veiller à la sécurité et la loyauté des transactions en ligne

3.1. Protéger les consommateurs dans les transactions électroniques

(R-IRIS-41) 3.1.a.- Soumettre par défaut au droit du pays de résidence du consommateur tout contrat ou transaction conclu par ce consommateur. Déterminer également par défaut la juridiction compétente en cas de différend comme étant celle du pays de résidence du consommateur. Permettre néanmoins, mais sur demande exprès du consommateur, l'application du principe de liberté de convenir entre les parties du droit applicable et de la juridiction compétente.

(R-IRIS-42) 3.1.b.- Limiter les dérogations au droit applicable aux activités du vendeur ou du prestataire à des considérations de santé publique réelles, sans les étendre à ce qui ressortit plutôt à des choix de société. Préférer dans tous les cas les actions en faveur de l'harmonisation européenne, dans le sens du meilleur respect des droits humains, de la qualité de la vie et de l'environnement dans le cadre d'un développement soutenable.

3.2. Assurer la transparence sur les réseaux

Identification et mentions obligatoires

(R-IRIS-43) 3.2.a.- Restreindre le régime de mentions obligatoires pour l'identification publique aux vendeurs de produits ou prestataires de services payants, qu'il s'agisse d'un paiement à l'acte, à la durée, au produit ou au service.

(R-IRIS-44) 3.2.b.- Assurer la meilleure visibilité de l'information sur les prix des produits ou services. Imposer la confirmation de conclusion de l'achat ou du contrat par le consommateur de manière claire et apparente (les « double clics » sont insuffisants, par exemple). Prévoir un délai raisonnable de réflexion et de rétractation pendant lequel le consommateur pourra annuler sa commande ou son contrat.

Conservation des données de connexion

(R-IRIS-45) 3.2.c.- Limiter le plus possible la durée de conservation des données de connexion, que cette conservation soit le fait du fournisseur d'accès ou du service Internet visité. Il s'agit d'un enjeu majeur de respect des droits humains et des libertés publiques, et l'identification des auteurs d'infractions ne saurait autoriser des mesures disproportionnées, comme le fichage des utilisateurs du réseau. En tout état de cause, cette durée ne devra pas excéder celle consentie dans d'autres pays de l'Union Européenne : il convient d'harmoniser cette durée en s'alignant sur le pays dont la législation recommande la durée minimale. Une durée maximale d'un mois, comme dans le cas de la conservation des bandes de vidéosurveillance, semble raisonnable.

(R-IRIS-46) 3.2.d.- Distinguer le type des données lors de la détermination de leur durée de conservation. Si les données établissant la connexion à Internet proprement dite sont utiles à des fins de facturation et d'enquête judiciaire éventuelle, les données témoignant de la consultation d'un site ne sont pas pertinentes pour ces fins légitimes, et sont en revanche significativement révélatrices de l'intimité de la vie privée de l'utilisateur. Elles sont de ce fait potentiellement utilisables à des fins illégitimes (établissement de profils, recueil de données sensibles). Par conséquent, la durée de conservation de ces données de consultation de sites devra être plus restreinte que celle des données de connexion à Internet.

(R-IRIS-47) 3.2.e.- Imposer aux fournisseurs d'accès à Internet l'information aux utilisateurs sur les données qu'ils collectent, sur la durée de leur conservation, ainsi que sur les droits des utilisateurs (par un lien sur le site de la CNIL par exemple). Encourager l'affichage de la politique suivie en matière de protection des données personnelles par les responsables de sites, gratuits ou payants (par exemple, la CNIL pourrait adapter à notre droit le générateur élaboré à cet effet par l'OCDE, et recommander ensuite son utilisation). Soumettre l'utilisation - et notamment l'utilisation à but lucratif - des données de connexion ou de consultation ainsi recueillies à l'accord exprès de l'utilisateur. Par défaut, l'utilisateur est réputé ne pas avoir donné son accord. [cf. Note 32e]

Communications commerciales : identification de la publicité

(R-IRIS-48) 3.2.f.- Imposer la distinction entre messages publicitaires et contenu rédactionnel. S'il est vrai que les technologies évoluent rapidement, cette identification de la publicité n'en reste pas moins possible dans une large majorité des cas, au même titre que pour d'autres supports. Il convient donc d'adopter des dispositions à cet égard dans la législation, les cas limites pouvant demeurer à l'appréciation de l'autorité judiciaire, ou de toute autre instance prévue par le droit commun. Il en va de même pour le cas des professions réglementées. En matière de protection du consommateur, comme en matière de protection de la liberté d'expression (cf. 1.3.), il ne serait pas admissible d'adopter une politique de « laisser faire », par des intérêts privés, sous couvert d'« autorégulation » ou de « corégulation ».

(R-IRIS-49) 3.2.g.- Limiter les désagréments causés par les messages publicitaires, en prohibant l'usage, à des fins d'affichage publicitaire, de techniques particulièrement intrusives. Ces techniques peuvent empêcher la consultation du contenu rédactionnel dans des conditions décentes. Parmi ces techniques, on peut citer l'affichage automatique et non sollicité d'une « fenêtre de pop-up ».

Communications commerciales non sollicitées

(R-IRIS-50) 3.2.h.- Soumettre la réception de communications commerciales non sollicitées au consentement exprès de l'utilisateur du réseau (méthode de l'« opt-in »). Appuyer les efforts des autres États-membres de l'Union européenne qui tentent actuellement de généraliser cette politique au niveau de l'Union. [cf. Note 32h]

Assurer la transparence du référencement : annuaires et moteurs de recherche

(R-IRIS-51) 3.2.i.- Renoncer au leurre de l'« autorégulation » pour assurer la transparence du référencement par les moteurs de recherche, annuaires ou portails. Les sources de financement ou les affiliations commerciales des sociétés éditrices de ces outils, de même que les règles observées pour le référencement, doivent apparaître en toute transparence pour l'utilisateur du réseau. L'évolution des techniques de référencement n'est en aucun cas un frein au contrôle de cette transparence.

Droit de réponse

(R-IRIS-52) 3.2.j.- Appliquer le principe du droit de réponse à Internet, mais en l'assortissant des garde-fous nécessaires à son utilisation raisonnable (cf. par exemple le cas de la presse écrite). Le respect d'un droit de réponse légitime ne doit pas toutefois autoriser les dérives tendant à étouffer le droit de critique, tout aussi légitime.

Publication des décisions de justice

(R-IRIS-53) 3.2.k.- Permettre la publication en ligne, ordonnée par un juge, des décisions de justice, mais en tenant compte des possibilités quasi-infinies de recoupement, de duplication et d'archivage offertes par le réseau. Le droit à l'oubli est un droit fondamental, et le risque est grand d'y porter gravement atteinte par une publication en ligne. Restreindre par conséquent les cas de publication de décisions impliquant des personnes privées aux nécessité de réparation suite à diffamation de ces personnes sur le réseau. En matière pénale, l'existence d'un portail recensant la jurisprudence (cf. 1.3.d.) suffirait à la publicité des décisions.

3.3. Reconnaître la valeur probante du document numérique et la signature électronique

(R-IRIS-54) 3.3.a.- Permettre l'utilisation de tout moyen fiable d'authentification de la signature électronique et de certification de l'intégrité d'un message. En particulier, autoriser l'utilisation de logiciels gratuits ou quasi-gratuits tels que PGP (« Pretty Good Privacy »), dont la fiabilité ne peut être contestée. Dans les cas où certains actes continueraient d'exiger l'intervention de tiers certificateurs ou de notaires agréés, imposer un prix maximum pour ces prestations. Imposer aux tiers certificateurs, agréés ou non, l'information la plus complète sur les moyens de certification utilisées et sur leur fiabilité, dans le double souci de transparence vis-à-vis du consommateur ayant recours à leurs services et de garantie de fiabilité du moyen de preuve électronique proposé.

3.4. Instaurer la liberté d'utilisation des moyens de cryptologie

(R-IRIS-55) 3.4.a.- Confirmer la liberté totale d'utilisation de la cryptographie, et l'assortir du libre choix du logiciel de cryptographie utilisé, que ce logiciel soit sur le marché ou gratuitement téléchargeable, comme PGP.

(R-IRIS-56) 3.4.b.- Supprimer complètement l'obligation de recours à des « tiers de séquestre ». Remplacer cette obligation par l'obligation de remise des clés aux autorités judiciaires, dans les cas appropriés et autorisés par le respect des textes fondamentaux national, européens et internationaux. Une liste précise et limitative de ces cas devra être énumérée par le législateur.

(R-IRIS-57) 3.4.c.- Agir auprès des autres pays signataires de l'accord de Wassenaar afin que soient supprimés les contrôles à l'exportation des moyens et outils de cryptographie, et que ces moyens et outils de cryptographie ne figurent plus sur la liste des biens et technologies à double usage, civil et militaire. [cf. Note 34c]

3.5. Lutter contre la criminalité

Investigations judiciaires

(R-IRIS-58) 3.5.a.- Limiter les possibilités d'investigations policières et judiciaires, de façon à préserver les droits humains et libertés fondamentales garantis.

Entraide internationale

(R-IRIS-59) 3.5.b.- Favoriser l'entraide judiciaire et celle des services de police judiciaire aux niveaux européen et international. Toutefois, les prérogatives des instruments de coopération internationale et le champ de leur action doivent rester soumis à l'approbation des pouvoirs législatifs nationaux et européen, et au contrôle des autorités judiciaires nationales et européenne. Il ne saurait être question d'instaurer des autorités de police indépendantes, dont la création, le champ des pouvoirs et le contrôle échapperaient à la consultation démocratique pour ne dépendre que de l'exécutif.

(R-IRIS-60) 3.5.c.- Faire toute la lumière sur le fonctionnement et les prérogatives d'Europol. Des parlementaires européens indiquent qu'Europol a le statut d'agence internationale indépendante, et qu'un acte récent du Conseil des ministres des États-membres de l'Union européenne, lui concède des prérogatives élargies. Cet acte stipule qu'« Europol précise si des données afférentes à l'origine raciale, aux croyances religieuses ou autre, aux opinions politiques, à la vie sexuelle ou à la santé peuvent être introduites dans le fichier d'analyse ». [cf. Note 35c]

(R-IRIS-61) 3.5.d.- Faire toute la lumière sur le système ECHELON et rendre compte de l'éventuelle implication de la France dans ce système, à quelque niveau que ce soit (implication mentionnée dans un document du Parlement européen). ECHELON est le nom de code du système global d'interception et de relais transfrontières d'informations, dont les opérateurs connus sont les agences de renseignements des États-Unis, du Royaume-Uni, du Canada, d'Australie et de Nouvelle-Zélande. Certaines sources indiquent que le système ECHELON permet d'intercepter jusqu'à 3 milliards de communications par jour dans le monde, incluant les communications téléphoniques, les courriers électroniques, les téléchargement d'informations sur Internet, ainsi que les transmissions par satellite. [cf. Note 35d]

(R-IRIS-62) 3.5.e.- Créer une commission d'enquête parlementaire nationale, en liaison avec le Parlement européen, dont la première mission sera l'établissement d'un rapport sur tous les dispositifs existants aux niveaux national, européen et international, et susceptibles de porter atteinte à la protection de la vie privée et des données personnelles, et d'en assurer le suivi. Ce rapport examinera en particulier la conformité de ces dispositifs, de leur fonctionnement et de leurs prérogatives en regard de la Constitution française et des textes fondamentaux européens et internationaux. Engager ensuite le débat, en France et dans l'Union européenne, sur le nécessaire contrôle démocratique de ces dispositifs. Proposer enfin les mesures législatives nécessaires aux niveaux national et européen pour assurer ce contrôle, y compris sur les systèmes internationaux. La prochaine présidence de l'Union par la France constitue l'occasion idéale pour ce faire.

Création d'un office central de lutte contre la criminalité liée aux technologies de l'information

(R-IRIS-63) 3.5.f.- Coordonner les moyens de lutte contre la criminalité, dans le strict respect des libertés individuelles et des libertés publiques. Pour ce faire, soumettre toute création d'office ou d'organisme policier et toute extension de ses prérogatives à l'approbation parlementaire. Autoriser le contrôle par la CNIL des activités d'un tel office.

3.6. Lutter contre la piraterie

(R-IRIS-64) 3.6.a.- Lutter contre la contrefaçon et le piratage, mais en définissant des garde-fous limitant les accusations abusives. Dans le cas de la contrefaçon (par exemple dans le cas de litiges portant sur des noms de domaines, ou de droit des marques), ces accusations abusives ont parfois pour unique objectif de limiter la liberté d'expression et de critique, comme en témoignent certaines affaires. Dans le cas du piratage, ces accusations abusives pourraient empêcher toute pratique de « fair use », notamment dans un but de recherche expérimentale.

3.7. Protéger les réseaux vitaux du pays

(R-IRIS-65) 3.7.a.- Respecter scrupuleusement les libertés publiques et la transparence dans toute mesure prise pour protéger les infrastructures et secteurs sensibles.

Section 2

Retour au sommaire

Section 4

 

Novembre 1999 - webmestre@iris.sgdg.org