LES SPYWARES

Les spywares sont des logiciels qui ont pour but d’espionner les comportements des internautes et de les transmettre à leur insu au créateur du logiciel, afin d’alimenter une base de données. Mais quels sont les enjeux juridiques liés à prolifération des spywares ?

Les spywares ou espiogiciels envahissent nos ordinateurs !

Ces petits programmes informatiques se multiplient via les programmes diffusés et téléchargeables sur Internet (freewares et sharewares) mais également sur les CD-ROM et DVD. Certains logiciels propriétaires sont porteurs de spywares.

Ces spywares ont pour objectif d’espionner le comportement de l’internaute et de transmettre ensuite, à son insu, les informations collectées aux créateurs et éditeurs de logiciels afin d’alimenter une gigantesque base de données.

 Face à la loi sur la confiance dans l’économie numérique (LEN) du 21 juin 2004 et à la loi Informatique et Libertés (LIL) du 6 janvier 1978 refondue en juillet 2004, quels sont les enjeux juridiques liés à la prolifération de tels logiciels espions ?

 

I. L’absence de consentement de l’internaute « infesté » par un spyware

Les créateurs des spywares ou les éditeurs déclarent que les spywares sont légaux. Lorsqu’une personne décide de télécharger un logiciel principal gratuit, la licence d’utilisation contient une indication sur la présence d’un éventuel spyware.

L’utilisateur installe donc le spyware sur son ordinateur en toute connaissance de cause. A priori ces spywares ne posent donc pas de problèmes juridiques : les internautes y ont préalablement consenti. Mais en réalité rares sont les internautes totalement au fait de la présence des spywares sur leurs ordinateurs.

Le consentement éclairé nécessaire avant toute conclusion d’un contrat (même à titre gratuit) et tout traitement automatisé d’informations à caractère personnel peut être remis en cause : le plus souvent, ces clauses sont écrites en tout petit et en anglais voire illisibles ou absentes.

Le spyware n’est pas en soi illégal mais il le devient dès lors qu’il n’y a pas eu de consentement exprès de l’utilisateur, comme le rappelle régulièrement la Commission Nationale de l’Informatique et des Libertés. De plus, la loi Informatique et Libertés instaure des obligations pour les responsables des traitements automatisés d’informations à caractère personnel et des droits pour les personnes fichées.

L’article 226-16 du Code pénal énonce que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de trois ans d'emprisonnement et de 45 000 euros d'amende. ».

 Le projet de loi concernant la refonte de LIL prévoit que l’amende peut atteindre 300 000 euros (article 14). Les responsables ont l’obligation d’informer préalablement les personnes auprès desquelles sont recueillies ces informations nominatives (article 27 de la loi du 6 janvier 1978 ; article 32 de la LIL version 2004).

Il doit par exemple les informer du caractère obligatoire ou facultatif des informations demandées, de l’identité du destinataire, de l’existence d’un droit d’accès et à rectification. La plupart du temps, ces informations ne figurent nulle part lorsque la personne télécharge en même temps un logiciel et un spyware.

Tout manquement à cette obligation constitue une infraction. Cette infraction est caractérisée par le fait que l’internaute n’est pas au courant de l’existence sur son ordinateur de ces petits programmes informatiques espions qui enregistrent ses moindres faits et gestes sur son ordinateur et sur Internet. Il n’a pas été informé par le responsable du traitement automatisé des informations à caractère personnel.

 

II. La violation de la vie privée de l’internaute et la collecte illégale d’informations à caractère personnel

Chacun a droit au respect de sa vie privée (article 9 du Code civil). Or, les spywares installés sans le consentement des internautes violent sans conteste leur vie privée en collectant des informations à caractère personnel. Les données à caractère personnel ainsi que leur traitement et collecte sont définis dans la loi Informatique et Libertés.

Les données personnelles permettent d’identifier la personne concernée (article 4 de la LIL de 1978, article 2 de la LIL 2004). Elles peuvent concerner des informations relatives à la vie privée de la personne.

Dans quel pays vit l’internaute ?
Quels types d’achat effectue-t-il sur Internet ?
Quels sont les sites visités quotidiennement ?
Combien de fois lance-t-il un logiciel de peer-to-peer par jour ?

Autant de questions que le spyware installé sur un ordinateur est à même de répondre. Des spywares ont d’ailleurs été détectés dans des logiciels d’échanges de fichiers peer-to-peer tels que KaZaA. Ces logiciels de stockage et de diffusion de musique contiennent un espiogiciel qui envoie la liste complète de tous les fichiers MP3 stockés sur le disque dur de l’utilisateur sans que celui-ci s’en rende compte.

Les destinataires des données peuvent ainsi constituer un fichier à des fins publicitaires sur les habitudes de téléchargement, les centres d’intérêts, les achats effectués sur la Toile et leur périodicité. Ces données personnelles sont cédées à des régies publicitaires qui les utilisent pour leur activité d’envoi de messages publicitaires sous forme de pop-ups, pop-unders et emails .

Il est bon de rappeler que la LEN condamne la prospection commerciale en l’absence de consentement préalable de l’internaute via les emails (article 22).

 Il s’agit de l’application du régime de l’opt-in. L’internaute doit avoir consenti préalablement à l’envoi de messages publicitaires. Or, dans le cas des spywares, les bases de données sont constituées à partir des informations dont le traitement n’a pas été consenti par les personnes concernées. Elles ne savent même pas que des informations les concernant circulent sur Internet.

Ces bases de données sont cédées à des entreprises qui envoient des messages publicitaires non autorisés. Les adresses électroniques des personnes n’ont pas été recueillies directement par les entreprises. L’envoi de ces messages publicitaires non sollicités via des emails peut donc poser des problèmes et être sanctionné pour non respect du régime de l’opt-in.

Ces spywares collectent toutes sortes d’informations qui peuvent dépasser la simple utilisation à des fins commerciales et publicitaires. Certains spywares sont capables de connaître la configuration exacte de l’ordinateur, le contenu du disque dur sur lequel se trouve les mots de passe et le carnet d’adresse contenant les adresses mails de tiers. Ces mots de passe et le carnet d’adresse peuvent ainsi être envoyés via Internet au créateur du spyware sans que l’utilisateur ne s’en rende compte.

Même si c’est l’utilisateur qui installe lui-même le programme espion, il ne le fait pas en connaissance de cause ; le programme espion est introduit à son insu dans son système informatique. Tout ceci constitue une véritable violation de la vie privée. Cette intrusion dans le système d’autrui n’est pas à négliger. Il faut savoir que l’intrusion dans un système informatique contenant des données personnelles est punie pénalement. La LEN prévoit un renforcement des peines en la matière. En effet, l’article 323-1 du Code pénal énonce que le "fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de 2 ans d'emprisonnement et 30 000 euros d'amende".

Si l’on considère que l’ordinateur d’un internaute contient des informations personnelles qui lui sont propres mais aussi des informations personnelles sur des tiers, l’article L321-1 du Code pénal pourra être appliqué. L’internaute infesté pourrait très bien avoir créé un site Web qui effectue un traitement automatisé d’informations personnelles.

De même, il ne faut pas oublier que de nombreux ordinateurs professionnels qui effectuent notamment le traitement de données personnelles, peuvent également être infestés par des spywares. Les créateurs de spywares vont de plus en plus loin. La polémique autour de « Did They read it ? » a fait couler beaucoup d’encre.

Ce logiciel espion a été mis en vente par la société Rampell Software. L’expéditeur d’un email, abonné à ce logiciel espion, peut ainsi connaître le moment où l’email a été lu, pendant combien de temps et dans quelle zone géographique il a été ouvert, quelle est l’adresse IP du destinataire dudit email, si ce dernier a été forwardé à un tiers.

Le profilage ne se limite donc plus au comportement des internautes sur Internet mais il concerne désormais le simple lecteur d’un email. Dans un communiqué du 22 juin 2004, la CNIL a énoncé que ce logiciel espion était totalement illégal en France.

Il s’agit, en effet, d’« une collecte frauduleuse, déloyale ou illicite de données nominatives » (article 25 de la LIL du 6 janvier 1978 ; article 6 nouveau de la LIL version 2004). S

Selon l’article 226-18 du Code pénal, les utilisateurs de ce logiciel encourent une peine de 5 ans d’emprisonnement et de 300 000 euros d’amende. Les sanctions sont lourdes en cas de collecte déloyale d’informations à caractère personnel car elles peuvent aller jusqu’à 1,5 millions d’euros d’amendes pour les personnes morales.

Ce principe de loyauté est extrêmement important. C’est la raison pour laquelle la LIL version 2004 indique explicitement qu’il s’agit d’une condition de licéité des traitements de données à caractère personnel.

Par ailleurs, la CNIL émet régulièrement des recommandations qui vise à limiter au maximum l’exploitation commerciale et publicitaire du profilage sur Internet. L’arsenal juridique français actuel n’est pas une loi française spécifique « anti-spyware » mais permet toutefois de sanctionner les dérives de ces logiciels espions. Les spywares prolifèrent.

Il convient d’être vigilant notamment lorsque l’on télécharge un logiciel gratuit sur Internet. Par ailleurs, il faut savoir que ce n’est pas parce que l’on décide de désinstaller le logiciel téléchargé que le spyware disparaîtra. Il est nécessaire de les détruire via des programmes anti-spywares.

LIENS CONNEXES

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.

| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Connexion sécurisé ssl 256
Nous joindre - Tel : 0143377563
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l'utilisation des cookies.
Share Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut