L'interception de données sur le réseau à l'école
/ Janvier 2022 /
La pratique du sniff, qui consiste à intercepter les données circulant sur un réseau par un responsable de celui-ci, se heurte à différentes législations destinées à protéger les données concernées. Ce phénomène d'interception de données sur un réseau se retrouve à l'école mais se retrouve aussi dans le milieu professionnel. Il faut comprendre que l'interception de données sur un réseau n'est pas en soi illégal. Il s'agit d'un comportement normal du système. C'est pourquoi nous pouvons retrouver l'interception de données sur le réseau d'écoles.
Le plus important lorsqu'il y a interception de données sur le réseau à l'école est que cette interception de données sur le réseau ne se fasse pas en contradiction avec les principes fondamentaux du droit ainsi que les lois visant à protéger les particuliers.
Celles-ci concernent à la fois la protection de la vie privée (I) et la protection des données à caractère personnel (II).
Le développement de l'informatique a permis de nouveaux comportements, c'est ainsi qu'est apparu la pratique du sniff qui consiste à intercepter les données circulant sur un réseau. Le sniff ou sniffing est l'action de surveiller le trafic sur un réseau à l'aide de drones appelés " sniffers " parfois à l'insu des utilisateurs et des administrateurs.
À la base, il était appelé " analyseur de protocole " voire encore " analyseur de réseau ", devenu terme populaire, il est le plus utilisé de nos jours. Les élèves ont alors adopté cette technique afin d'intercepter les données sur le réseau de l'école (Ce sont les écoles qui interceptent les données sur le réseau de l'école ou plutôt l'école qui intercepte les données des élèves sur le réseau de l'école ?).
Besoin de l'aide d'un avocat pour un problème de contrefaçon ?
Téléphonez nous au : 01 43 37 75 63
ou contactez nous en cliquant sur le lien
I. La protection des correspondances et la vie privée
Destinés à protéger tous les deux la vie privée, on observe une dissociation des régimes juridiques sur le sujet avec l’apparition d’une législation spécifique relative au secret des correspondances (A) qui vient compléter la législation générale relative à la la vie privée,(B).
A) Le secret des correspondances
Les correspondances émises par la voie des télécommunications sont protégées par la loi du 10 juillet 1991, avant cette date, ce sont les dispositions relatives à la vie privée (notamment l’article 9 du Code civil) qui fondaient leur régime de protection. Aujourd’hui le Code pénal prévoit dans son article 226-15 des sanctions aux atteintes au secret des correspondances.
L’article 226-15 dans son alinéa deux prévoit explicitement le cas des télécommunications en disposant « Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l’installation d’appareils de nature à permettre la réalisation de telles interceptions. ». (1)
Ces dispositions instaurent un régime strict de secret relatif à ces correspondances émises par la voie des télécommunications.
La peine prévue par l’article 226-15 alinéa premier concernant toute atteinte au secret des correspondances est « d'un an d'emprisonnement et de 45000 euros d'amende. », on peut donc voir que les peines sont très lourdes.
En application de ces dispositions le principe est donc simple : il est interdit d’intercepter les correspondances. Ceci concerne donc sur un réseau d’école tous les mails qui circulent sur le réseau de l’école.
Le fait de prévoir de telles surveillances dans le règlement intérieur de l’école ne change rien au problème, la seule possibilité serait la divulgation par la personne de son courrier, mais ceci ne peut pas lui être imposé.
B) La vie privée
La notion de vie privée prévue par l’article 9 du Code civil est une notion a géométrie variable. En effet, elle n’est pas définie strictement pas les textes, il appartient donc au juge de définir au cas par cas son contenu.
La jurisprudence estime qu’est illicite toute immixtion arbitraire dans la vie privée d’autrui et que le fait de se faire épier, surveiller et suivre est une immixtion illicite.
Concernant l’interception de données sur le réseau de l’école on peut légitimement penser que l’interception des différentes communications telles que les chats par exemple sont clairement protégés par la vie privée, ensuite pour le reste l’interception du surf des internautes peut être, en fonction des circonstances, être rattaché ou non à la vie privée.
Le régime juridique permet comme pour le secret des correspondances de s’opposer à l’interception et à l’utilisation des éléments de la vie privée, l’article 9 du Code civil autorise ainsi le juge à prendre toutes les mesures nécessaires pour faire cesser l’atteinte à la vie privée.
Le régime de la protection de la vie privée va permettre de combler les lacunes relatives au secret des correspondances qui ne protège qu’une partie des données circulant sur le réseau, la vie privée étant une notion plus large, elle permettra d’élargir le champ d’application et de protection de la loi.
Par conséquent l’école ne pourra pas sur son réseau intercepter les informations qui touchent à la vie privée.
Le 20 juin 2018, la loi n° 2018-493 relative à la protection des données personnelles est entrée en vigueur. Cette loi a modifié l’article 6 de la loi informatique et libertés du 6 janvier 1978 qui dispose désormais « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »
II. La protection des données à caractère personnel
La notion de données à caractère personnel est une notion communautaire qui correspond à celle d’information nominative en droit interne.
Elle recouvre toutes les informations concernant une personne identifiée ou identifiable.
On peut donc y placer des éléments très divers tels que l’adresse IP, le login et le mot de passe utilisateur, qui permettent en pratique d’identifier l’utilisateur de l’ordinateur.
Ces différentes données sont donc soumises à la loi informatique et libertés en droit interne et aux diverses directives communautaires sur le sujet.
La législation sur les données à caractère personnel n’empêche pas la collecte et l’utilisation de ces données, contrairement à la législation sur la vie privée et le secret des correspondances. L’objectif de ces textes est d’encadrer les traitements de ces données.
Si une école par ses interceptions de données, capte et/ou utilise des données à caractère personnel ce qui est évident, car elle devra identifier les auteurs ou destinataires des données qu’elle intercepte, alors elle devra suivre les règles relatives à ces données qui se traduisent par deux aspects : les obligations de l’école (B) et les droits des personnes dont les données sont interceptées (C). Mais il ne faut pas oublier que certaines des personnes concernées sont des mineurs et que le régime peut être un peu différent les concernant (A).
A) Les données personnelles et les mineurs
Le régime de la loi de 1978 ne prévoit aucune disposition spécifique relative aux mineurs. La doctrine semble aussi divisée sur le sujet, par conséquent la CNIL s’est saisie du problème.
La CNIL a donc émis des recommandations après consultation de l’ensemble des personnes concernées aussi bien les responsables de traitements que les associations de protection de l’enfance. Il en ressort que la CNIL recommande lors des traitements de données personnelles concernant les mineurs l’accord des parents.
Elle a rappelé, de manière encore plus insistante que pour les traitements concernant les majeurs, la nécessité de respecter le principe de finalité.
En outre, le Règlement général sur la Protection des Données consacre dans son article 8 une place importante à la protection des données personnelles des mineurs parce qu’ils « peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ». En effet cet article dispose que : « le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant ». (2)
B) Les obligations de l’école interceptant les données
Le principe de déclaration ou d’autorisation préalable : Tout traitement de données à caractère personnel, doit faire l’objet d’une déclaration préalable dans le cadre d’une entreprise de droit privé et d’autorisation préalable pour les établissements publics auprès de la commission nationale informatique et libertés. Cette déclaration ou autorisation doit préciser les caractéristiques du traitement notamment son contenu et sa finalité.
Les données doivent être traitées loyalement et licitement : La notion de licéité ne fait pas de problème, c'est un simple renvoi aux textes. La loyauté renvoie à un examen au cas par cas du contexte et du comportement. Elle traduit le principe selon lequel il ne faut pas tromper les personnes concernées. En l’espèce l’école doit donc intercepter les données sans le cacher et ne pas non plus tenter de masquer l’utilisation réelle qui est faite des données collectées.
Les données doivent être traitées pour des finalités déterminées, explicites et légitimes : La violation du principe de finalité est sanctionnée par la responsabilité de droit commun qui se traduira par une demande de dommage intérêts, mais en plus il peut y avoir un recoupement avec l'article 226-21 du code pénal qui sanctionne le détournement de finalité.
Les données doivent être adéquates, non excessives et pertinentes au regard de la finalité
Les données doivent être exactes et si nécessaires mises à jour
Les informations ne doivent être conservées que le temps nécessaire à la réalisation de la finalité
Obligation d'information : cette obligation a pour but d'établir une certaine transparence. Le responsable du traitement doit donner des informations aux personnes concernées. Ces informations doivent permettre à la personne concernée de connaître l'existence du traitement et donc de mettre en oeuvre tous ses autres droits.
Un règlement européen qui encadre la protection des données personnelles a été adopté par le parlement européen en avril 2016 et est entré en vigueur le 25 mai 2018. Il s’agit du règlement général sur la protection des données (RGPD). Il impose de nouvelles obligations pour ceux qui collectent et traitent ces données. Il prévoit que dans chaque académie un délégué à la protection des données devra être désigné. Son rôle sera de veiller au respect du cadre légal concernant la protection des données.
Des principes clés ont été mis en place à destination des professeurs des établissements scolaires pour leur permettre de respecter du mieux possible le RGPD. 10 principes clés ont ainsi été créés dans cette optique. Ces principes ont été répertoriés dans une infographie intitulée « 10 principes clés pour protéger les données de vos élèves. » Pour les personnes qui le souhaitent, il est également possible de demander conseil auprès d’un délégué académique à la protection des données. Pour cela il suffit de se rendre sur le site suivant : https://education.gouv.fr/RGPD
C) Les droits des personnes dont les données sont interceptées
L’élève doit avoir la capacité de contrôler ce qui est fait des informations qui sont interceptées et qui le concerne, ainsi que de contrôler leur qualité. Mais il s’agit d’un droit qui implique une attitude active de sa part.
Le droit de s'informer : L’élève peut demander à l’école si elle traite des données à caractère personnel à son sujet. Si l’école refuse de répondre à la demande, elle s'expose à une contravention de 5ème catégorie.
Le droit d'accès à l'information : Toute personne a le droit d'accéder à toutes les données personnelles le concernant, et faisant l'objet d'un traitement. C’est le droit principal de l’élève concernée par l’interception. Il va donc pouvoir consulter auprès de l’école, l’ensemble des données qu’elle détient à son sujet. Il n’y a pas de conditions particulières à cette demande, l’élève peut donc choisir la forme de sa demande.
Le droit de contestation et d'obtenir rectification des données personnelles le concernant
Le droit de s'opposer au traitement de données à caractère personnel : Toute personne physique a le droit de s'opposer pour des raisons légitimes à ce que des données nominatives le concernant fassent l'objet d'un traitement. Avant comme pendant, à tout moment, même si l'on a accepté avant. La loi n'impose pas une information pour dire qu'il existe un droit d'opposition.
Le non-respect de ce droit est est puni par l’article 226-18-1 du Code pénal qui dispose que : « Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »
Conclusion :
On voit donc à travers ce panorama des réglementations s’appliquant dans le cadre de l’interception des données par une école sur son réseau, qu'au-delà des données qui sont parfaitement interdites de conserver, les autres données obéissent à un régime très contraignant. Par conséquent l’intérêt d’une telle interception est bien faible par rapport aux risques pris. La quasi-totalité des violations des textes vus précédemment est sanctionnée par des peines pénales de prison ou d’amende, mais parallèlement à ces peines, les victimes de ces violations pourront réclamer à l’école des dommages - intérêts pour d’éventuels préjudices subis.
Pour lire une version plus adaptée aux mobiles de cet article sur l'interception des données, cliquez
Sources :
(1) : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042193573
(2) : Article 8 et considérant du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
_________________________________________________________________________________
Faites appel à notre cabinet d'avocats en cas de doutes ou de demande d'éclaircissements, nous sommes à votre disposition : téléphone : 01 43 37 75 63
_________________________________________________________________________
ARTICLES QUI POURRAIENT VOUS INTERESSER :
