IRIS Toutes « Les Brèves d'Iris » sont organisées mensuellement après leur parution dans
LES IRIS

 


Date: Sat, 23 Sep 2000 17:39:05 +0200
Subject: Le point sur les modifications relatives a Internet apres la
loi du 1er aout 2000


Bonjour à tous,

Vous trouverez ci-après une note d'IRIS faisant le point sur les
modifications relatives à Internet induites par la loi n°2000-719 du
1er août 2000.

Adresse permanente de ce document sur le web :
http://www.iris.sgdg.org/actions/loi-comm/note-modifs.html

Kaïs Marzouki, pour IRIS.
-------------------------

Loi sur la liberté de communication

Modifications relatives à Internet  induites par la loi n°2000-719 du
1er août 2000  (loi visant à modifier la loi n°86-1067 du 30 septembre
1986)

Note d'IRIS - 22 septembre 2000

Cette note ne constitue pas une analyse juridique exhaustive de la loi
n°2000-719 du 1er août 2000, visant à modifier la loi n°86-1067 du 30
septembre 1986 sur la liberté de communication. Son objet est de
répondre de façon simple aux nombreuses questions que peuvent se poser
les utilisateurs d'Internet après l'adoption de la nouvelle loi, tout
en y ajoutant, chaque fois que possible, les recommandations d'IRIS.
Tous les textes officiels, ainsi que les analyses de l'association
tout au long du processus d'adoption de cette loi jusqu'à sa
promulgation, sont disponibles dans le dossier que l'association a
consacré à cette loi [1]. Ce document a été rédigé pour Iris par
Meryem Marzouki (Meryem.Marzouki@iris.sgdg.org). 

1. Déclaration de sites Web 

1.1. Déclaration au Procureur de la République et au CSA

À compter du 1er août 2000, la loi n'impose plus la déclaration de
sites Web, ni auprès du Procureur de la République, ni auprès du
Conseil supérieur de l'audiovisuel (CSA). 

En effet, le 1° de l'article 43 de la loi n°86-1067 du 30 septembre
1986, qui imposait une telle déclaration, a été abrogé par l'article 2
de la loi n°2000-719 du 1er août 2000. 

Toutefois, les services de radiodiffusion sonore ou de télévision
diffusés par tous procédés restent soumis à l'obligation de
déclaration auprès du CSA. 

1.2. Déclaration à la CNIL

La loi n°2000-719 du 1er août 2000 n'induit aucun changement à ce
sujet.  En attendant les modifications de la loi Informatique et
Libertés du 6 janvier 1978, dans le cadre du projet de transposition
de la directive européenne 95/46/CE du 24 octobre 1995 (directive sur
la protection des données personnelles), tout site Internet, s'il
comporte ou utilise des informations nominatives, doit faire l'objet
d'une déclaration auprès de la Commission nationale de l'informatique
et des libertés (CNIL). Une donnée nominative est une donnée
permettant l'identification d'une personne, cette notion est donc bien
plus étendue que la simple mention d'un nom. 

Par ailleurs, la diffusion de données nominatives doit toujours
s'accompagner d'une information sur le droit des personnes concernées
(accès, rectification, opposition, suppression des données) [2]. 

2. Information et fourniture de moyens de filtrage des contenus

L'obligation faite aux fournisseurs d'accès à Internet de fournir à
leurs utilisateurs un moyen de filtrage des contenus avait déjà été
introduite dans la loi n°86-1067 du 30 septembre 1986 (article 43-1)
par l'article 15 de la loi n°96-659 du 26 juillet 1996 sur la
réglementation des télécommunications [3]. 

Dépourvue de sanction, cette obligation n'a jamais été appliquée,
d'autant que les moyens de filtrage (permettant de restreindre l'accès
à certains services ou de les sélectionner) sont majoritairement
disponibles en Anglais et destinés à un public de culture
anglo-saxonne, voire exclusivement américaine. Ils sont surtout tous
sujets à forte caution [4]. 

Cette obligation a été réaffirmée par l'article 1er de la loi
n°2000-719 du 1er août 2000, qui remplace, dans la loi n°86-1067 du 30
septembre 1986, l'article 43-1 par un article 43-7. 

Cet article 43-7 fait obligation aux fournisseurs d'accès à des
services de communication publique en ligne d'informer leurs abonnés
de l'existence de moyens de filtrage et de leur en proposer au moins
un. 

Cette disposition ne concerne pas les fournisseurs ne proposant pas
l'accès (fournisseurs d'hébergement seul, ou plus généralement de
services autres que l'accès). 

Comme précédemment, l'obligation n'est assortie d'aucune sanction. Par
ailleurs, l'état de l'art des logiciels de filtrage n'ayant pas
vraiment évolué, la plus grande méfiance par rapport à ces logiciels
reste recommandée. Une société à l'origine de l'un des rares logiciels
disponibles en Français a même été dénoncée par le Réseau Voltaire
comme entretenant des liens avec l'Opus Dei [5]. De plus, si des
logiciels de filtrage sont proposés par des fournisseurs d'accès, la
publicité ainsi faite à des outils commerciaux fera l'objet de toutes
les convoitises, et on devra alors s'interroger sur les critères de
choix d'un logiciel proposé. 

Par conséquent, cette obligation restera sans doute non respectée par
les fournisseurs, ce qui est la meilleure des solutions dans l'état
actuel des choses. 

3. Responsabilité civile ou pénale du fait des contenus 

3.1. Responsabilité civile ou pénale des fournisseurs d'hébergement

À compter du 1er août 2000, les fournisseurs d'hébergement de contenus
sur Internet ne peuvent être tenus pour responsables civilement ou
pénalement des infractions à la loi résultant de ces contenus que dans
le cas où, ayant été saisis par une autorité judiciaire, ils n'ont pas
agi promptement pour empêcher l'accès à ce contenu. 

Les fournisseurs de tels services sont concernés quels que soient leur
statut (personne physique ou morale) ou la rémunération du service
(service gratuit ou payant). 

Cette disposition est l'application directe de l'article 43-8 de la
loi n°86-1067 du 30 septembre 1986, introduit par l'article 1er de la
loi n°2000-719 du 1er août 2000. 

Cette nouvelle disposition signifie que, sauf obligation
contractuelle, un fournisseur d'un tel service ne peut être menacé de
poursuite, ni contraint à une action quelconque sur le contenu
hébergé, par aucune autre personne ou entité que l'autorité
judiciaire. 

Toutefois, cette disposition ne concerne que le fournisseur
d'hébergement qui se cantonne à un rôle d'intermédiation technique. En
particulier, toute relation autre que l'intermédiation technique
contractuelle entre le fournisseur d'hébergement et l'auteur du
contenu hébergé (par exemple un lien de subordination lorsque le
fournisseur d'hébergement est l'employeur de l'auteur) peut influer de
manière très importante sur l'application de cette disposition. 

3.2. Responsabilité civile ou pénale des fournisseurs d'accès et de
services de transport

Les dispositions de la loi du 1er août 2000 sur la responsabilité du
fait des contenus ne concernent que l'activité de stockage direct et
permanent de contenus pour leur mise à disposition publique. 

Le cas des activités de fourniture d'accès, transport ou de stockage
non direct ou non permanent (articles de liste ou de forum de
discussion non archivés de façon permanente, "cache" pour les pages
Web...) de contenus n'est pas encore traité spécifiquement par la loi,
et reste soumis au droit commun. Si la jurisprudence actuelle exonère
généralement de responsabilité ces activités [6], il faudra néanmoins
attendre la transposition complète de la directive européenne
2000/31/CE du 8 juin 2000 (directive sur le commerce électronique)
dans la législation française pour régler définitivement ces cas. La
directive 2000/31/CE est entrée en vigueur le 17 juillet 2000. 

3.3. Responsabilité civile ou pénale des auteurs de contenus

La loi n°2000-719 du 1er août 2000 n'induit aucun changement à ce
sujet.  Les auteurs de contenus restent soumis au droit commun en
matière civile et pénale, ainsi qu'aux obligations contractuelles
éventuelles. 

Toutefois, la conséquence majeure de la nouvelle disposition sur la
responsabilité des fournisseurs est que les auteurs de contenus
subiront sans doute moins de pressions de la part de leurs
fournisseurs d'hébergement ou de suppression de leurs contenus de
façon abusive par ces fournisseurs. 

En tout état de cause, les auteurs de contenus n'ont pas à obtempérer
à une quelconque demande de leur fournisseur d'hébergement, sauf
obligation contractuelle. De même, il n'y a aucune raison d'accepter
une quelconque intervention du fournisseur d'hébergement sur les
contenus hébergés, lorsque cette intervention n'est pas requise par
une décision judiciaire. 

4. Conservation des données par les fournisseurs et obligation de secret

4.1. Obligation de conservation des données

Les fournisseurs d'accès et les fournisseurs d'hébergement,
respectivement définis par les articles 43-7 et 43-8 introduits par
l'article 1er de la loi n°2000-719 du 1er août 2000, seront tenus de
conserver toute donnée permettant l'identification des auteurs de
contenus hébergés par leurs services. 

L'application de cette disposition reste toutefois soumise à la
publication d'un décret du Conseil d'État, qui devra être pris après
avis de la CNIL. Ce décret devra déterminer la nature des données à
conserver, ainsi que la durée et les modalités de cette conservation
par les fournisseurs d'accès et d'hébergement. 

Dans l'attente de ce décret et sans préjuger de son contenu, il est
utile d'analyser les différentes sortes de données que les
fournisseurs peuvent actuellement détenir. 

4.1.1. Données de connexion

Les données concernées donnent des informations sur les auteurs de
contenus hébergés. Il s'agit d'une part des données de connexion à
Internet, détenues par les fournisseurs d'accès, et d'autre part des
données de connexion au serveur sur lequel résident les contenus,
ainsi que le journal des modifications des pages hébergées, ces
données étant en possession du fournisseur d'hébergement. L'ensemble
de ces données est nécessaire en cas d'enquête judiciaire pour
identifier l'auteur d'un contenu litigieux. 

4.1.2. Données de consultation

En revanche, il n'est ni nécessaire ni souhaitable que les données de
consultation de sites Web soient concernées par ce décret. En effet,
ces données sont constituées non seulement des traces que nous
laissons sur les machines de notre fournisseur d'accès et sur les
serveurs de sites que nous consultons, mais aussi des traces que nous
gardons lorsque nos sites sont consultés et que des statistiques de
consultation sont mises en place. En plus d'être identifiantes, ces
données sont fortement signifiantes de nos centres d'intérêt,
jusqu'aux plus privés d'entre eux. Toutefois, elles ne signifient
aucune activité de communication publique, en particulier de création
de contenus. 

4.1.3. Données d'identification directement fournies par l'utilisateur

Il s'agit là des données fournies par un abonné à un fournisseur
d'accès et/ou d'hébergement, lors de la création du contrat
d'abonnement. Ces données varient actuellement selon le fournisseur.
Lorsque le service est payant, elles comprennent forcément des
informations nécessaires à la comptabilité du fournisseur et à sa
gestion des comptes, ainsi qu'à la facturation du service à l'abonné.
Certains fournisseurs gratuits demandent des coordonnées postales
complètes, le contrat d'abonnement prenant effet à la réception par le
fournisseur d'une lettre de confirmation de l'abonné. D'autres
fournisseurs gratuits proposent des abonnements immédiats par voie
électronique : il suffit alors parfois de n'indiquer qu'une adresse de
courrier électronique, qui peut être ou non identifiante. Il existe
toutefois peu de cas où l'anonymat est total, car on peut en général
remonter jusqu'à un fournisseur d'accès détenant des informations plus
complètes. Malgré cela, la loi n°2000-719 du 1er août 2000 modifie
profondément la teneur des données d'identification (cf.  section 5).


4.2. Obligation de secret

Si la loi n°2000-719 du 1er août 2000 fait obligation aux fournisseurs
d'accès et d'hébergement de détenir des informations concernant leurs
abonnés qui seront précisées par décret, elle fixe néanmoins des
garde-fou dans l'article 43-9 de la loi n°86-1067 du 30 septembre
1986, qu'elle introduit par son article 1er pour l'utilisation de ces
données personnelles. Ainsi, seules les autorités judiciaires peuvent
en requérir communication auprès des prestataires techniques concernés
et ces derniers peuvent être sévèrement punis pour toute autre
utilisation des données : le défaut de préservation de la sécurité des
données ou leur communication à des tiers est puni de cinq ans
d'emprisonnement et de 2 000 000 F d'amende (article 226-17 du code
pénal) ; le fait de détourner ces données de leur finalité est puni
des mêmes peines (article 226-21 du code pénal). L'application de
l'article 226-22 du code pénal au traitement de ces données vient
encore renforcer ces garde-fou. 

5. Identification préalable des auteurs de contenus

L'article 43-9 de la loi n°86-1067 du 30 septembre 1986, introduit par
l'article 1er de la loi n°2000-719 du 1er août 2000, fait obligation
aux fournisseurs d'hébergement de fournir à leurs abonnés des moyens
techniques de fournir les nouvelles données d'identification requises
par l'article 43-10 de cette même loi. Toutefois, cette obligation est
dépourvue de sanction spécifique, ce qui ne signifie pas que les
risques liés à la violation de cette obligation sont inexistants. Les
fournisseurs d'hébergement n'ont en revanche aucune obligation de
vérifier l'exactitude ou la complétude des données ainsi fournies. 

L'article 43-10 de la loi n°86-1067 du 30 septembre 1986, introduit
par l'article 1er de la loi n°2000-719 du 1er août 2000, fait
obligation aux éditeurs de contenus mis à disposition publique de
fournir des données permettant leur identification. Ces données, et
leurs destinataires, varient selon le statut de l'éditeur. 

Les personnes physiques doivent tenir à disposition du public leurs
nom, prénom et adresse de domicile, accompagné des coordonnées de leur
fournisseur d'hébergement (nom et dénomination ou raison sociale).
Toutefois, si elles éditent les contenus à titre non professionnel et
qu'elles ne souhaitent pas cette publicité, elles peuvent ne tenir à
la disposition du public qu'un pseudonyme en lieu et place de leurs
nom, prénom et domicile. C'est le fournisseur d'hébergement qui devra
alors détenir ces dernières données d'identification. 

Les personnes morales doivent tenir à disposition du public leur
dénomination ou raison sociale ainsi que l'adresse de leur siège
social.  Elles doivent aussi indiquer publiquement le nom du directeur
ou du codirecteur de la publication et celui du responsable de la
rédaction du service s'il y a lieu. Ces informations doivent être
accompagnées des coordonnées de leur fournisseur d'hébergement (nom et
dénomination ou raison sociale). 

Ici encore, cette obligation faite aux éditeurs de contenus,
professionnels ou non, personnes physiques ou morales, est dépourvue
de sanction, ce qui ne signifie pas que les risques liés à la
violation de cette obligation sont inexistants. 

Iris s'est clairement exprimée [1] sur ces obligations
d'identification préalable des auteurs de contenus, en expliquant
qu'elles étaient hypocrites et inutiles puisque les données détenues
par les fournisseurs d'accès et d'hébergement avant cette nouvelle loi
(sections 4.1.1 et 4.1.3) sont amplement suffisantes à la
détermination des responsabilités du fait des contenus disponibles sur
Internet. C'est pourquoi Iris recommande : 

 - d'une part aux fournisseurs d'hébergement de ne pas vérifier les
données d'identification à indiquer en application de l'article
43-10 de la loi n°86-1067 du 30 septembre 1986, introduit par
l'article 1er de la loi n°2000-719 du 1er août 2000, à l'aide des
moyens techniques précisés à l'article 43-9 de cette loi, puisque
cette obligation de vérification n'est pas prévue.

 - d'autre part aux éditeurs de contenus, lorsqu'il s'agit de
personnes physiques n'éditant pas à titre professionnel ces
contenus, d'user de la possibilité d'anonymat qui leur est garantie
par l'article 43-10 de la loi n°86-1067 du 30 septembre 1986,
introduit par l'article 1er de la loi n°2000-719 du 1er août 2000,
sauf dans le cas où ces personnes souhaitent de leur plein gré se
faire connaître du public pour des raisons qui leur appartiennent, par
exemple pour la facilité d'être contacté par une personne intéressée
par le contenu publié. 

Références :

- [1] Dossier complet d'IRIS, loi sur la liberté de communication,
avec textes officiels, sélection des débats parlementaires et
diverses réactions : http://www.iris.sgdg.org/actions/loi-comm 

- [2] Site de la CNIL : http://www.cnil.fr 

- [3] Loi n°96-659 du 26 juillet 1996 sur la réglementation des
télécommunications (article 15) :
http://www.telecom.gouv.fr/francais/activ/telecom/nloi12a16.htm 

- [4] Rapport IRIS 1997, annexe 6, intitulée « Étiquetage et filtrage : 
possibilités, dangers, et perspectives » :
http://www.iris.sgdg.org/documents/rapport-ce/annexe6.html 

- [5] Article de la revue en ligne Transfert, intitulé « L'Opus Dei
s'infiltre sur la Toile » :
http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=1173


- [6] Analyse d'IRIS, intitulée « Arrêtons le ping-pong
jurisprudentiel et législatif ! » :
http://www.iris.sgdg.org/actions/loi-comm/ping-pong.html






INFORMATIONS SUR « LES BRÈVES D'IRIS »

« Les Brèves d'Iris » sont diffusées gratuitement, sur abonnement. Elles sont ensuite mensuellement organisées dans LES IRIS, la lettre d'Iris. Rediffusion et reproduction autorisées, moyennant mention complète de la référence.
Retrouvez toutes « Les Brèves d'Iris » sur le Web : http://www.iris.sgdg.org/les-iris/lbi/index.html.
Retrouvez « LES IRIS » sur le Web : http://www.iris.sgdg.org/les-iris/index.html.
Lisez le courrier de « LES IRIS » : http://www.iris.sgdg.org/les-iris/cdl-li.html.
Abonnement, désabonnement et changement d'adresse : http://www.iris.sgdg.org/les-iris/abonn-li.html.
Informations et courrier à la rédaction : redac-li@iris.sgdg.org.
À propos de la lettre d'IRIS : http://www.iris.sgdg.org/les-iris/apropos-li.html.

(dernière mise à jour le 03/10/2000) - webmestre@iris.sgdg.org