Tout d’abord un an après la parution du dessin de Peter Steiner dans le New Yorker, Lou Montulli aura l’idée d’utiliser les cookies sur le web. Les cookies sont ces fichiers textes que les sites visités déposent sur votre ordinateur et qui leurs permettent de vous "identifier". Dans ces fichiers le site inscrira certaines informations qu’il a enregistrées sur vous et qu’il jugera pertinentes. Les cookies ont une durée de vie limitées avant d’être effacés. Dans la pratique un site comme google dépose sur votre ordinateur un cookie d’une durée de vie de 30 ans ! Mieux encore alors que les cookies sont censés n’être exploitables que part le site qui l’a déposé, certains cookies tiers peuvent vous suivre d’un site à un autre pour mieux connaitre vos habitudes de surf. Typiquement ce sera les cas des bannières publicitaires affichés sur les sites qui adaptent leurs messages en fonction des sites visités. Une visite de la CNIL vous donnera un faible aperçu des traces que vous laissez sans mêmes vous en rendre compte. Il existe des moyens pour se protéger des cookies et autres méthodes de traçage de l’internaute mais elles sont largement ignorées par le grand public. Selon une étude récente de ComScore ce sont 336 milliards de données personnelles qui ont étés récupérées en un mois par cinq sites !

Bref même si nous cachons notre identité aux autres utilisateurs derrière un pseudonyme nous sommes de moins en moins anonymes vis à vis des sites que nous visitons. Mieux ou pire, ce relatif anonymat, nous sommes de plus en plus incités à le quitter afin de partager volontairement notre véritable identité avec d'autres tiers. Tout d'abord sur les sites marchands nous autorisons les commerçants à savoir qui nous sommes. Ensuite lorsque nous cherchons du travail et déposons notre CV en ligne, visible par de futurs employeurs inconnus. Enfin sur les réseaux sociaux nous partageons notre identité avec tout les membres de ce réseaux. .Une recherche sur son nom et prénom sur internet aura des résultats bien étranges, depuis la pétition signée en ligne dans un accès de fibre militante, jusqu'à sa photo d'école maternelle . Dorénavant, sur internet tout le monde sait que vous êtes est un chien , de quelle race et quelle est votre pâtée préférée.

PS: Il existe évidemment des moyens de rester anonyme je n'en discuterai pas, mais pour ceux que ça intéresse Reporters sans Frontières à fait un dossier assez complet ici.

Cela signifie que les fichiers clients ne peuvent être constitués et cédés à des fins commerciales qu'avec l'accord exprès et préalable de ces clients. L'alinéa 2 de l'article L.34-5 c. p. c. é. précise que le consentement s'entend comme "toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe".

L'alinéa 4 de l'article L. 34-5 c. p. et c.é. prévoit toutefois un régime dérogatoire en posant 4 conditions cumulatives :

• les coordonnées doivent avoir été recueillies directement auprès des clients, dans le respect de la loi du 6 janvier 1978 ;
• ces coordonnées ont été recueillies à l'occasion d'une vente ou d'une prestation de service ;
• la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale ;
• et indiquer de manière expresse et sans ambiguïté, la possibilité pour le destinataire de s'opposer, sans frais, à l'utilisation de ses coordonnées.

Dans la mesure où la prospection ne peut concerner que des produits ou services analogues fournis par la même personne physique ou morale, seule cette dernière peut démarcher ses clients. Ainsi, en cas de cession du fichier clients, le cessionnaire ne peut utiliser ce fichier sans commettre l'infraction prévue à l'article R. 10-1 du code des postes et communications électroniques. Ce texte prévoit une peine d'amende de 750 € par e-mail expédié.

L'article L.226-18 du code pénal a également vocation à s'appliquer. Cet article dispose que "le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à un traitement d'informations nominatives concernant une personne physique malgré l'opposition de cette personne, lorsque cette opposition est fondée sur des raisons légitimes, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende."

De ce fait, l'acquisition d'une entreprise de commerce électronique et de son fichier clients son principal actif a une portée limitée.

En conséquence, l'acheteur de l'entreprise doit donc, au moment de la négociation, s'assurer que

• la collecte des coordonnées a été loyalement faite ;
• la cession préalable de ces coordonnées a été autorisée ;

À défaut de remplir ces conditions, le fichier acquis sera inutilisable par le cessionnaire. Compte tenu de l'enjeu, à la fois sur le plan commercial et financier, un tel audit des fichiers clients s'impose donc !

Source : News.fr / ZDNet – Date : 27 février 2008 – Auteur : Estelle Dumout

 Lien de l’article : http://www.news.fr/actualite/0,3800002468,39379005,00.htm

La CNIL s'est prononcée favorablement dès la fin 2004. Elle a également rendu 3 décisions le 18 octobre 2005 réaffirmant sa position : les adresses IP sont des données personnelles.

Dans la mesure où les adresses IP sont des données personnelles, les dispositions de la loi du 6 janvier 1978 modifiée sont donc applicables. Il est dès lors nécessaire, aux termes de l'art. 25 de la loi du 6 janvier 1978 modifiée de demander l'autorisation à la CNIL de recueillir ces données. C'est une autorisation et non une simple déclaration qui est nécessaire. Dans le cas présent, le recueil vise en effet des données relatives à des infractions : la procédure est dès lors plus contraignante.

La position de la CNIL est toutefois contredite par les tribunaux qui considérent quant à eux que les adresses IP ne sont pas des données personnelles :

• La Cour d'Appel de Paris a rendu un arrêt le 27 avril 2007 aux termes duquel, le fait de relever les adresses IP n'est pas en tant que tel un traitement automatisé de données. En effet, pour la Cour d'Appel, les adresses IP ne permettent pas à elles seules d'identifier l'utilisateur d'un micro-ordinateur et de logiciel de peer to peer
• Le Conseil d'État a rendu un arrêt le 23 mai 2007 dans lequel il a annulé les 3 décisions de la CNIL. Le Conseil d'État juge que la CNIL a entaché sa décision d'une erreur d'appréciation en "estimant que les traitements envisagés conduisaient à une surveillance exhaustive et continue des fichiers des réseaux d'échanges et ne pouvaient par conséquent être regardés comme proportionnés à la finalité poursuivie". En effet les sociétés d'auteurs ne souhaitaient surveiller les échanges de fichiers que sur 10 000 titres musicaux alors qu'elles sont chargées de la protection des droits de plusieurs millions de titres.

La position adoptée par les deux juridictions est toutefois critiquable au regard de l'article 2 de la loi de 1978 qui dispose que "constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres". On le voit sont également protégées les données indirectement personnelles comme peuvent l'être les adresses IP.

L'ensemble des autorités européennes de protection des données personnelles a rappelé dans un avis daté du 20 juin 2007 que pour elles les adresses IP sont bien des données personnelles. Le fait que le rapprochement entre l'adresse IP et les coordonnées du client puisse se faire selon une procédure simple justifie une protection de celle-ci.

En Suisse le Préposé fédéral à la protection des données et à la transparence suit la même logique que la CNIL et considère également qu'une adresse IP est une donnée personnelle et que donc la Loi fédérale sur la protection des données doit s'appliquer.

Il reste maintenant à savoir si les juridictions administrative et judiciaire vont tenir compte des remarques de la CNIL sur le caractère indirectement personnel des adresses IP et modifier leur jurisprudence.

Mise à jour du 31 janvier 2008:

Dans une affaire un arrêt (CJCE Aff. n° 275/06 - Promusicae) rendu le 29 janvier 2008 par la encore pendante devant la Cour de Justice des Communautés, l'avocat général indique dans ses conclusions que "dans la mesure où les titulaires des adresses IP peuvent être identifiés en raison du fait que le fournisseur d’accès à l’Internet a enregistré l’attribution qui leur en avait été faite, il s’agit d’ailleurs déjà, lorsque Promusicae intercepte les adresses IP, du traitement de données à caractère personnel, c’est-à-dire d’une opération qui doit être conforme aux exigences du droit de la protection des données".

Reste à savoir si la Cour suivra les conclusions de l'avocat général sur ce point précis. La Cour :

• décide que les directives [2000/31/CE, 2001/29/CE, 2004/48/CE, 2002/58/CE] "n’imposent pas aux États membres de prévoir, dans une situation telle que celle de l’affaire au principal, l’obligation de communiquer des données à caractère personnel en vue d’assurer la protection effective du droit d’auteur dans le cadre d’une procédure civile".
• exige des États que lors de la "transposition de ces directives, ils veillent à se fonder sur une interprétation de celles-ci qui permette d’assurer un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique communautaire".
• laisse aux États le soin d’interpréter "leur droit national d’une manière conforme à ces mêmes directives, mais également de ne pas se fonder sur une interprétation de celles-ci qui entrerait en conflit avec lesdits droits fondamentaux ou avec les autres principes généraux du droit communautaire, tels que le principe de proportionnalité".

Source : Computerworld – Date : 18 septembre 2007– Auteur : Jay Cline

 Lien de l’article (en anglais) : http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9037218&source=rss_news50

Source : Internet Actu – Date : 14 septembre 2007– Auteur : Daniel Kaplan

 Lien de l’article : http://www.internetactu.net/?p=7274