Responsabilités du chef d'entreprise
Voici un rappel de l’ensemble des règles s’appliquant au chef d’entreprise
Rappel des règles de responsabilités :
Droit civil
Mise en jeu de la responsabilité délictuelle.
Article 1382 du Code civil
« Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé, à le réparer. »
Article 1383 du Code Civil
« Chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence. »
Article 1384 du Code civil
« On est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que l’on a sous sa garde. »
Droit Pénal
Le complice : Article 121-7 du code pénal : « est complice d’un crime ou d’un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation.
Est également complice, la personne qui par don, promesse, menace, ordre, abus d’autorité ou de pouvoir aura provoqué à une infraction ou donné des instructions pour la commettre. »
I) Responsabilités relatives aux contenus
L’émission de contenus peut être source de mise en jeu de sa responsabilité pénale tant au niveau du droit pénal que du droit de la presse ou de la propriété intellectuelle.
Quelles infractions ?
- le non-respect des droits de la personne : l’atteinte à la vie privée d’autrui, le racisme, la diffamation et l’injure; la publication de photographie sans avoir obtenu l’autorisation écrite de la personne représentée ou de son représentant légal si elle est mineure
- le non-respect des bonnes mœurs et des valeurs démocratiques : la diffusion de messages à caractère violent ou pornographique accessibles par un mineur, l’incitation à la consommation de substances interdites, la provocation aux crimes et délits, à la discrimination, à la haine notamment raciale ou à la violence, l’apologie de tous les crimes, notamment meurtre, viol, crimes de guerre et crimes contre l’humanité
- le non-respect de la propriété intellectuelle et artistique : la reproduction, représentation ou diffusion d’une œuvre de l’esprit (extrait musical ou littéraire, photographie…) en violation des droits de l’auteur ou de toute autre personne titulaire de ces droits
- le non-respect de la loi informatique et libertés : tout traitement automatisé de données nominatives doit faire l’objet d’une déclaration préalable à la CNIL.
Pour quelles responsabilités ?
Responsabilité comme éditeur de publication en droit de la presse, directeur de la publication, comme complice en matière pénale., pour diffusion du message, par exemple l’article 227-24 du code pénal prévoit que « Le fait de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu’en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine, soit de faire commerce d’un tel message, est puni de trois ans d’emprisonnement et de 75 000 € d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur12 ».
Comme fournisseur d’accès à Internet
Texte : Article 6 I.-1.de la LCEN :
« Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne informent leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens.
Les personnes visées à l’alinéa précédent les informent également de l’existence de moyens de sécurisation permettant de prévenir les manquements à l’obligation définie à l’article L. 336-3 du code de la propriété intellectuelle et leur proposent au moins un des moyens figurant sur la liste prévue au deuxième alinéa de l’article L. 331-26 du même code. »
Grâce à ce statut, l’entreprise ne sera pas qualifiée d’auteur d’une infraction, elle n’a aucune responsabilité dans les agissements de l’utilisateur mais a un devoir de conseil sur les possibilités de restriction d’accès et de sécurisation de l’accès à Internet.
Comme hébergeur de contenu
Article 6. I. 2. de la LCEN : « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible. »
=> Hébergement d’œuvres de l’esprit, de services de messagerie, de forums, de chats, de blogs, etc.
Si le service offre des solutions d’hébergement à ses utilisateurs, il devra mettre en place une structure d’avertissement et procéder à des vérifications à réception de chaque message.
Sa responsabilité pourra être mise en jeu. Le service peut éventuellement recommander des services d’hébergement gratuit à ses utilisateurs.
Le service doit se limiter à un accès et doit limiter cet accès.
L’entreprise peut également se voir condamnée comme abonné en cas de téléchargement illégal par le public. En effet dans le cadre de la loi HADOPI du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet.
Cette condamnation consistera en une amende ou une suspension de ligne, ce qui nuit à tous les utilisateurs du service.
Article L 331-25 CPI : « Lorsqu’elle est saisie de faits susceptibles de constituer un manquement à l’obligation définie à l’article L. 336-3, la commission de protection des droits peut envoyer à l’abonné, sous son timbre et pour son compte, par la voie électronique et par l’intermédiaire de la personne dont l’activité est d’offrir un accès à des services de communication au public en ligne ayant conclu un contrat avec l’abonné, une recommandation lui rappelant les dispositions de l’article L. 336-3, lui enjoignant de respecter l’obligation qu’elles définissent et l’avertissant des sanctions encourues en application des articles L. 335-7 et L. 335-7-1. Cette recommandation contient également une information de l’abonné sur l’offre légale de contenus culturels en ligne, sur l’existence de moyens de sécurisation permettant de prévenir les manquements à l’obligation définie à l’article L. 336-3 ainsi que sur les dangers pour le renouvellement de la création artistique et pour l’économie du secteur culturel des pratiques ne respectant pas le droit d’auteur et les droits voisins. »
Par conséquent, l’entreprise offrant un service gratuit, c’est l’entreprise et non l’utilisateur final qui dispose de l’ abonnement vis-à-vis du FAI et qui pourra être condamné.
Dans la mesure où elle-même peut être assimilée à un FAI et afin d’éviter la mise en jeu de sa responsabilité, il lui faut passer un contrat avec l’utilisateur final et l’identifier afin de pouvoir lui transmettre ces avertissements préalables à la sanction.
II) Infractions relatives aux données personnelles
Aux termes de L. 34-1 dans le Code des postes et des communications électroniques, les fournisseurs d’accès Internet (FAI), catégorie dont relèvent les lieux publics d’accès à Internet sont tenus de conserver certaines données de trafic. Celle-ci sont précisées par l’article R. 10-13 du Code des postes et des communications électroniques.
Par ailleurs, le décret fixe à un an la durée de conservation des données dont la conservation est rendue obligatoire.
Il ne s’agit pas de sauvegarder pendant 1 an tous les contenus qui transitent par internet dans votre espace mais les données de connexion à internet (ou logs) telle qu’elles sont précisées par le Code. Ces dispositions demeurent toutefois actuellement assez imprécises.
Doivent notamment être conservés :
l’adresse des sites web visités,
l’adresse de hébergeur de courriers électroniques utilisé
l’adresse de l’hébergeur de la boîte.
L. 34-1 susmentionné précise que les données conservées ne peuvent en aucun cas porter « sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications
Cette obligation de conservation de données personnelle s’accompagne d’obligation fortes, à savoir :
- une obligation de sécurité des données (article 226-17 du code pénal)
Le responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. - une obligation de confidentialité des données (article 226-22 du code pénal).
Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc). - une obligation de respecter la durée de conservation des informations (article 226-20 du code pénal)
Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier, la durée maximale de conservation étant un an. - une obligation de détermination de l’objectif du traitement (article 226-21 du code pénal)
Un fichier doit avoir un objectif précis.
Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif.
Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées.
III) Infractions relatives aux « matériels »
Dégradation physique
La dégradation du matériel par un usager obéit aux règles du droit civil « toute personne par la faute duquel un dommage est causé doit le réparer » ce qui donne lieu à l’allocation de dommages et intérêts de l’utilisateur.
Atteinte au STAD
Le système de traitement automatisé de données est une notion large qui va de l’ordinateur au disque dur en passant par un logiciel, notamment de traitement de données personnelles.
Il est possible de réaliser plusieurs actions sur un STAD considérées comme des délits et réprimées par le code pénal:
← Accès frauduleux, sanctionné par l’article 323-1 du Code pénal :
» Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende. »
← Atteinte au système :
« Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. »
← Atteintes frauduleuses aux données :
« Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. »
← Tentative de l’un des délits ci-dessus (art. 323-7).
Par conséquent tout utilisateur du service qui effectuera ce genre d’opération sera susceptible de poursuites pénales.
Le service pourra être poursuivi pour complicité par fourniture de moyens. Il lui faut donc se protéger en prévenant l’utilisateur et en mettant en place des sécurités techniques.
IV) Préconisations
Déclarations à effectuer
Déclaration CNIL du fait de la conservation des données personnelles des utilisateurs pendant un an.
Obligation légale sanctionnée à l’article 226-16 du code pénal.
Cette déclaration reprend les obligations du gestionnaire des données personnelles.
Déclaration SACEM
La SACEM collecte les droits d’auteur et les redistribue aux ayants droit (artistes,
La diffusion de morceaux d’artistes doit être déclarée à la SACEM et la redevance acquittée.
L’élément déclencheur de la redevance est l’utilisation d’une ou plusieurs œuvres musicale faisant partie du répertoire de la SACEM en public. A priori, la seule détention d’un appareil électronique susceptible de diffuser un signal musical, ne suffit généralement pas à ouvrir droit à redevance pour SACEM.
=> Il convient donc qu’une écoute musicale se fasse avec un casque pour éviter une diffusion publique, en effet l’écoute privée n’est pas soumise aux redevances de la SACEM.
Requête du Tribunal
– exemplaire
– procédure d’urgence à établir : coordonnées et disponibilités de la personne en charge de la manipulation technique afin de réaliser l’impression du listing de connexions sur la période requise en présence d’un huissier ?
Contractualiser les rapports avec l’utilisateur :
Le simple affichage des obligations de l’utilisateur est indispensable mais est insuffisant. Il faut une volonté expresse et donc écrite des utilisateurs du service.
Seul le contrat, par son caractère librement accepté et la précision des obligations mutuelles, peut matérialiser cet accord.
Plusieurs supports sont possibles et selon les situations, certains seont plus adaptés que d’autres.
La charte : Il s’agit d’un document succinct et générique qui rappelle en quelques lignes la mission de l’espace et la nature du service proposé et quelques règles communes. Ce document est destiné à être affiché à la vue de tous sous forme de poster dans l’espace. Il définit en permanence le cadre général de services de l’espace. Il n’est pas signé par l’utilisateur.
Le règlement intérieur : Ce document écrit précise en détail les droits et les obligations de l’espace, de l’animateur et du public. Il doit être constamment à la disposition du public et remis à tout nouvel entrant. Il n’est généralement pas signé par l’usager.
Le contrat collectif ou contrat d’adhésion : Ce document reprend le règlement intérieur et y ajoute éventuellement des règles liées à l’adhésion (tarifs, …). C’est un contrat : il doit être signé, daté, par tout usager qui l’accepte (mention lu et approuvé). Pré-imprimé, il s’applique collectivement à la majorité des usagers, il n’est pas modifiable par l’usager. C’est souvent un contrat d’adhésion.
Le contrat individuel : il s’inspire du contrat d’adhésion mais il est adapté à un public particulier (mineurs, associations, écoles, touristes de passage, …) ou à un service précis ou inhabituel ou limité dans le temps (location de la plate forme technique de l’espace, …). Réalisé sur mesure et éventuellement modifié en commun, il ne s’applique qu’aux parties qui l’ont signé. Il sera réalisé en double exemplaire, un pour chaque partie qui devra le conserver.
Documents juridiques, les chartes, règlements et contrats seront validés par le service juridique de la collectivité ou par un professionnel du droit.
Ce que doivent contenir chartes, règlements et contrats :
Il est difficile d’établir un règlement type pour tous les entreprises, il faut donc un règlement adapté à chaque entreprise avec une base commune :
- Le rappel de la nature du document et son objet
- La nature détaillée du document remis, les parties concernées.
- La mission du lieu d’accès public à internet.
- Les services proposés par l’espace (TIC et usages).
- Une mise en garde contre les dangers d’internet, les contenus rencontrés.
- Les limites des usages et des pratiques autorisées (chat, copie, téléchargement, paiement en ligne, …).
- Les principaux droits à respecter par le public (propriété intellectuelle, injure, diffamation, discrimination)
- Le comportement des publics (ne pas déranger autrui, respect des horaires, inscription préalable, comportements déviants, discrimination, diffamation)
- La responsabilité du public vis-à-vis de l’utilisation des outils
- Les obligations de l’espace vis-à-vis des données personnelles (respect de la vie privée, doit à consultation à modification et à suppression de celles-ci) et l’usage des données personnelles par l’espace
- La déclaration des données personnelles à la CNIL (numéro d’agrément, correspondant aux données personnelles)
- Les moyens de Cybersurveillance mis en œuvre et leur finalité
- L’inscription des publics et le fonctionnent du lieu
- Le mode de tarification (peut être en annexe tarifaire)
- Le rôle de l’animateur et son autorité dans l’espace
- Les sanctions (discipline, exclusion, …)
- Identification du responsable du lieu d’accès public à internet et ses coordonnées
- La résolution des conflits, le médiateur désigné
Les conditions d’accès au poste :
– L’identification de l’utilisateur
– inscription sur un registre / auprès du personnel avec sa carte d’adhérent comme preuve d’identité
– carte d’adhérent nominative avec identifiant et mot de passe sécurisés pour accéder au poste
Indiquer la nécessité de référer au personnel de toute perte de carte / mot de passe et identifiants ou utilisation par un tiers desdites données ainsi que tout problème d’utilisation du service.
Modalités d’utilisation.
Il convient de réserver aux mineurs certains postes dont l’utilisation sera verrouillée techniquement pour empêcher l’accès à des sites inappropriés.
Les postes réservés aux mineurs doivent être visibles et à proximité des personnels du service.
Les conditions d’utilisation du Poste :
– respect du matériel
– respect des règles de déontologie informatique
– règles d’utilisation des logiciels (virus, téléchargement)
– règles d’utilisation des moyens informatiques
– règles d’utilisation des moyens de communication (messagerie, msn, forums, chats)
– règles d’utilisation des systèmes d’impression.
Information et droits de l’utilisateur
– sur la conservation des données personnelles de connexion et de navigation
Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d’exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées.
art. 131-13 du code pénal Décret n° 2005-1309 du 20 octobre 2005
– sur les responsabilités en tant qu’utilisateur d’un poste à accès libre :
Le rappel des infractions potentielles et des sanctions auxquelles s’expose l’utilisateur
– du fait du contenu
Infractions :
Le non-respect des droits de la personne
Le non-respect des bonnes mœurs et des valeurs démocratiques
Le non-respect de la propriété intellectuelle et artistique
Le non-respect de la loi informatique et libertés
Sanctions :
Les sanctions civiles (dommages et intérêts), pénales (amende et / ou emprisonnement) auxquelles l’utilisateur s’expose de ce fait.
Les sanctions disciplinaires auxquelles l’utilisateur s’expose dans le cadre du contrat passé avec le service (interdiction de l‘accès au service Internet ou à tous les services du lieu de façon temporaire ou définitive et/ou amende)
– du fait du mauvais usage du matériel
Infractions :
Dégradation du matériel et du logiciel.
Intrusion dans un système de traitement automatisé de données.
Sanctions :
Les sanctions civiles pour dégradation du matériel
Les sanctions pénales pour intrusion dans un système de traitement automatisé de données
Les sanctions auxquelles l’utilisateur expose l’entreprise :
– fermeture de l’accès Internet temporaire ou définitive
– amende de l’organe public pour complicité par fourniture de moyens
Des limitations techniques d’accès
– pour la protection juridique de l’entreprise :
Accès aux forums et chats, sites de rencontres et blogs modérés seulement
Absence d’hébergement de ces plateformes (indication de plateformes d’hébergement gratuites)
Interdiction d’accès aux sites d’achat en ligne (blocage des sites en https)
Interdiction des sites tendancieux ou illégaux (système de contrôle parental)
Interdiction des sites de téléchargement et blocage du téléchargement des logiciels de téléchargement
– pour la protection financière de l’entreprise
Proscription de la facturation par la connexion Internet par des dispositifs de type « Allopass », moyen de paiement très utilisé pour la visite de sites pornographiques et de téléchargement de sonneries portables.
En effet l’abonné à la connexion est le service.
– pour la protection des autres utilisateurs du service :
La protection de la vie privée.
L‘utilisation d‘Internet dans un lieu public fait partie de la vie privée, et cette vie privée laisse des traces, telles que les traces de connexion, les favoris ou l’historique, ….
Afin de protéger cette obligation légalement encadrée tant au plan civil que pénal : vider la mémoire cache et l’historique de recherches après chaque passage d’un public.
Par ailleurs le public peut de ce poste accéder à son courrier électronique.
Il s’agit d’une correspondance privée protégée à ce titre.
Deux solutions cumulatives :
– la recommandation :
Informer les usagers et de les dissuader d’accéder à leur messagerie personnelle sur le poste et de ne pas enregistrer leurs mot de passe et identifiant et leur recommander d’en changer souvent sans utiliser d’informations personnelles (prénom, nom, date de naissance).
Recommander de ne pas donner d’indications sur les noms, prénoms, adresses, photos et adresse électronique du mineur, numéro de carte bleue des parents afin de préserver son anonymat.
– La surveillance de l’activité sur les postes par des moyens techniques
Elle est autorisée, à condition de :
– Informer préalablement l’usager de la surveillance et des moyens mis en œuvre et de la finalité,
– Utiliser des moyens légaux,
– Utiliser des moyens en proportion du but recherché et pratiquer donc une surveillance raisonnable compatible à l’exigence du respect de la vie privée.
– pour la protection du matériel :
Interdiction de lecture de CD ROMS, dvd, Bu ray, clé USB, disquette et autres supports externes sauf ceux fournis par l’organe.
Fermeture de tous les ports non utilisés à des fins de navigation Internet afin d’empêcher le téléchargement.
Interdiction du téléchargement et de l’installation de nouveaux logiciels, requête auprès du personnel.
Bibliographie :
Article L 34-1 CPCE + décret d’application 2006-358 du 24 mars 2006 sur la conservation des données personnelles..
Articles 323-1 à 323-7 du Code pénal : atteinte au système de traitement automatisé de données
Articles 9 du Code civil et 226-1 à 226-7 du Code pénal : atteinte à la vie privée
Article 227-4 du Code pénal sur la diffusion de message violents ou pornographiques accessibles aux mineurs
Loi du 29 juillet 1881
– Article 24 pour la provocation à la haine raciale
– Article 29 et suivants pour la diffamation et l’injure.