Compte-rendu de l’intervention : Internet dans les lieux publics, quelles obligations pour les structures, quels droits pour les usagers ?

Compte-rendu rédigé par Caroline Deconinck

Après une introduction où la juriste a balayé son champ d’action, remerciant au passage les nombreux usagers imprudents - voire injurieux - de Facebook, blogs divers et autres qui représentent une manne financière pour les cabinets d’avocats spécialisés dans le droit d’Internet, Me Blandine Poidevin est entrée dans le vif du sujet.

Fourniture d’un accès internet : obligation de conservation des données de connexion Qu’entend-on par fournisseur d’accès internet ? Au regard de l’article L. 34-1 I CPCE de la loi anti-terrorisme, il s’agit bien de toute personne qui offre au public, au titre d’une activité professionnelle principale ou accessoire, un accès au réseau internet. Que l’offre soit payante ou non, qu’il s’agisse d’un hôtel, d’une compagnie aérienne ou... d’une bibliothèque, le fournisseur d’accès est dans l’obligation de conserver les données de connexion pendant douze mois. L’objectif de la conservation des données est de fournir aux juristes les éléments leur permettant de poursuivre la « bonne » personne à l’origine des logs. Le mieux étant d’être en mesure de fournir l’identité de la personne, déclinée par un identifiant et un mot de passe et les types de sites auxquels s’est connecté tel ordinateur. En fait, rien n’oblige à conserver les données à caractère personnel des usagers, mais, si un Espace Public Numérique ne les conserve pas, c’est le responsable de l’EPN qui est inquiété en cas de poursuite judiciaire !

Or, le fait de détenir des données à caractère personnel fait entrer en ligne de compte la loi « informatique et libertés » et implique une déclaration à la CNIL. Un Espace Public Numérique qui ouvre fait une déclaration préalable à la gestion des données personnelles. Il convient de faire deux déclarations : une déclaration de la conservation d’un fichier à la CNIL et une déclaration aux usagers quand on collecte les informations.

Comment fonctionnent les déclarations à la CNIL ? Il faut déclarer tout traitement automatisé ou non automatisé de données à caractère personnel figurant dans des fichiers autres que strictement personnels. Un répertoire téléphonique est strictement personnel, une liste de personnes inscrites à une journée d’études n’est pas une liste personnelle et doit donc être déclarée à la CNIL. Il faut faire une déclaration par finalité. Il existe des déclarations simplifiées (des formulaires déjà pré-remplis comme, par exemple, pour les bibliothèques) et des déclarations dites normales. Une médiathèque fait une déclaration sur le fichier de ses usagers ayant pour finalité la gestion du prêt d’ouvrages et l’édition de statistiques. La loi informatique et liberté, revue en 2004, date de1978, il est à espérer que toutes les bibliothèques et médiathèques (informatisées ou non) aient fait cette première déclaration ! L’EPN fait une déclaration sur le fichier de ses usagers et précise sa finalité (il n’existe pas de déclaration simplifiée pour cet usage).

La CNIL a le droit de faire des enquêtes sur place. Elle vérifie la durée de conservation des données, elle considère qu’un usager a le droit à l’oubli. Une personne a le droit d’être effacée à sa demande d’un fichier. Il faut aussi respecter les conditions de collecte des données personnelles :
  informer les personnes des collectes
  expliquer pourquoi les données sont collectées
  justifier si besoin les données recueillies
  faire apparaître les mentions obligatoires et facultatives dans le formulaire d’inscription et indiquer les conséquences à défaut de réponse.

Le droit des personnes se décline selon trois axes : droit d’opposition, droit d’accès, droit de rectification.

Comment agir en cas d’obligation de sécurité ? Si des données sont cryptées, la confidentialité doit être contractualisée avec la maintenance informatique.

Comment faire des statistiques pourtant sur plus d’un an ? On peut « anonymiser » les personnes et conserver les données impersonnelles plus d’un an.

Comment agir face à une personne voulant être effacée du fichier ? On peut opposer une obligation à un droit d’opposition : comme on a obligation de conserver les données personnelles pendant 12 mois, on peut s’opposer à l’opposition d’effacement invoquée par la personne.

Loi Hadopi La loi Hadopi 2 est opérationnelle depuis le 1er janvier 2010. En tant que juriste, Me Poidevin précise que cette loi a tout de suite eu pour avantage de simplifier la lourdeur de l’action pénale engendrée en cas de plainte. La riposte est maintenant graduée pour l’usager contrevenant : 1 : mise en demeure par mail faite au titulaire de la ligne 2 : 2ème mise en demeure six mois plus tard par lettre recommandée 3 : démarrage d’une action pénale Dans un EPN, la personne responsable de l’accès à internet a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation illicite : reproduction, représentation ou communication d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits. Cependant, il ne s’agit pas de faire du « flicage » mais il est recommandé de mettre en place un filtrage des sites consultables. Notre responsabilité peut être mise en cause pour :
  atteinte au Droit de presse (diffamation, injure, incitation à la haine raciale, apologie de crime...),
  atteinte au Droit de la propriété intellectuelle (droit d’auteur et droits voisins, marques enregistrées, logiciels...),
  atteinte à la loi Informatique et liberté et à la LCEN (loi sur la confiance dans l’économie numérique luttant contre les spam, par exemple)
  atteinte au droit pénal (accès frauduleux ou perturbation d’un système d’information, escroquerie...) et atteinte aux mineurs (pornographie, violence, consommation de produits stupéfiant, suicide...)

Il convient d’établir une charte à l’attention des usagers des EPN mentionnant les règles applicables et les responsabilités des deux parties ainsi que les sanctions encourues en cas de non respect des règles.

Suite à cette intervention, un participant a réagi en nous envoyant cette information publiée par Michèle Battisti de l’ADBS : "Nulle obligation [pour les bibliothèques] d’identifier les personnes ni même de filtrer les accès à l’internet !". Cette interprétation est commentée sur Bibliobsession.

Voir aussi les analyses de l’IABD sur le sujet. Le débat est ouvert, n’hésitez pas à nous faire part de vos commentaires !