Le 11 janvier 2011, dans le cadre d’un procès opposant un particulier à la société CDiscount, le Tribunal de grande instance de Bordeaux a acquitté le dit particulier Cédric M. qui comparaissait pour entrave au bon fonctionnement d’un n système automatisé d’un traitement de données, en l’état le site d’une des filiales de CDiscount : www.lecomptoirsante.com.
Fait particulier, Cédric M. reconnaissait avoir effectivement mené une veille concurrentielle sur le site www.comptoirsante.com avec un logiciel automatisé, qui aurait éventuellement pu générer un dysfonctionnement temporaire du site, assimilable à un déni de service.
Ce fait divers juridique m’a semblé le moment approprié pour essayer de rédiger une synthèse de quelques aspects juridiques liés à la veille et des précautions devant éventuellement prises lorsque l’on souhaite mener une veille qu’elle soit concurrentielle ou liée à l’image de son entreprise à la fois sur le périmètre à l’extérieur de l’entreprise mais également à l’intérieur de l’entreprise. On y trouvera donc également des éléments liés au contrat de travail.
J’insiste sur le fait que je n’ai que des notions très basiques de droit, et que ce que je vous livre c’est principalement mon interprétation de certains aspects règlementaires et juridiques pouvant avoir un impact sur la conduite de la veille. Une synthèse et des conclusions personnelles qui finalement conditionnent en grande partie ma façon de conseiller mes clients et de travailler également pour eux.
1) Les problématiques juridiques liées à la veille : présentation
La veille sur internet est un processus qui fait face à de multiples problématiques juridiques que nous développerons :
- La notion d’atteinte à un système de traitement automatisé
- Le respect des conditions générales d’utilisation
- L’utilisation des moyens informatiques pendant son temps de travail
- La notion de respect de la vie privée
Nous développerons ces différents points sachant que l’approche juridique est une approche souvent complexe et particulièrement dans ce cas où elle fait appel à des notions de respect de la vie privée dans l’absolu, à des relations contractuelles (contrat de travail), à des accords tacites (CGU) et à une jurisprudence mouvante et non encore convergente, le tout dans un environnement international aux frontières floues (Internet.)
2) La notion d’atteinte à un système de traitement automatisé
En dehors de la notion de furtivité de la veille, que devrait se poser toute entreprise qui met en place une démarche active de surveillance de son environnement sur Internet, l’entreprise réalisant une veille sur Internet devra prendre soin de ne jamais porter atteinte au bon fonctionnement d’un site web qu’elle surveille.
En effet, lors des processus automatisés de veille sur Internet, l’on peut être amené à déployer des logiciels qui iront régulièrement visiter des sites Web.
Ces automates se comportent comme un internaute qui visite un site Web. Ils ouvrent des pages Web provoquant une sollicitation du serveur hébergeant le site Web proposé.
Dans l’hypothèse où les logiciels de veille seraient mal paramétrés, ils pourraient sur-solliciter le site web (en exécutant des processus de crawl simultanés et à trop haute fréquence) et provoquer ainsi un dysfonctionnement. Du site visité.
Si l’on prend l’exemple d’un logiciel comme Website Watcher sur lequel j’ai récemment eu l’occasion de publier un support de formation, ce dernier permet de gérer plusieurs aspects permettant de limiter l’impact négatif sur le site web surveillé :
- Il est possible de diminuer le nombre de crawleurs simultanés dans les options générales du programme [ options générales du programme | vérification | connexion ] (nombre maximum de connexions simultanées par serveur HTTP).
- Il est possible d’augmenter le délai entre le téléchargement successifs de deux pages d’un même serveur ce qui a le double avantage de limiter l’impact négatif mais également d’augmenter la furtivité, le logiciel adoptant ainsi un comportement plus proche de celui d’un internaute.
- Il est possible de ne pas télécharger les images du site web surveillé. Les images sont souvent les éléments les plus lourds d’une page web et impactent donc plus lourdement l’infrastructure.
Dans ce cas présent, l’entreprise réalisant la veille tombe alors sous le coup du code pénal selon l’article 323-2 (et accessoirement 323-5) :
Ces articles sont ceux sur lesquels s’est appuyé CDiscount pour assigner Cédric M.
On comprendra par ailleurs aisément que la furtivité est un point qui permet de prêter un peu moins le flanc à son concurrent. En effet, si un concurrent détecte votre crawler à cause d’un manque de furtivité il sera peut-être plus tenté d’engager des poursuites judiciaires y compris si le dysfonctionnement provoqué sur son site Web est mineur.
La furtivité de la veille est d’ailleurs évoquée dans ce même jugement puisque le prévenu admet avoir utilisé des IP anonymisées, mais que le site www.lecomptoirsante.com s’étant défendu contre ce qu’il considérait comme une attaque a bloqué le logiciel de veille ce qui a amené le veilleur à se connecter d’un poste ne disposant pas du même système d’anonymisation.
En conclusion du jugement CDiscount / Cédric M., il est par ailleurs précisé que CDiscount n’a pas pu produire de preuve tangible du dysfonctionnement provoqué par l’action de veille. Il ne faudrait donc pas penser qu’il s’agit là d’une jurisprudence dédouanant le veilleur de connaître ses logiciels et de limiter l’impact de ces derniers sur les systèmes qu’il observe.
3) Le respect des Conditions Générales d’Utilisation
[NDLR : il s’agit du passage sur lequel je suis probablement le moins certain de mon interprétation et je reste ouvert à toutes remarques ou compléments d’information à ce sujet]
Les conditions Générales d’Utilisation sont un accord passé entre l’éditeur d’un site et celui qui l’utilise.
Les CGU, le plus souvent, ont pour principale conséquence lorsque l’on ne les respecte pas, de se faire bannir du site (pour ceux dont l’accès nécessite un compte).
En effet, pour que l’infraction à cet accord soit opposable juridiquement, il faudrait qu’il s’agisse d’un contrat, qui, en droit français demande un certain formalisme (signature physique ou électronique) afin de d’assurer que les parties co-contractantes sont pleinement informées.
Prenons pour exemple les CGU de Facebook qui précisent 2 points plus particulièrement applicables aux activités de veille dans le paragraphe alloué à la sécurité :
« 2. Vous n’obtiendrez pas d’informations concernant des utilisateurs ou les contenus qu’ils publient, et n’accéderez pas à Facebook à l’aide de méthodes automatisées (telles que robots, araignées, etc.) sans notre permission.
11. Vous n’agirez pas d’une manière qui pourrait désactiver ou autrement empêcher le bon fonctionnement du Service Facebook (comme une attaque entraînant un refus de service). »
On y retrouve précisément le point évoqué précédemment qui par ailleurs trouve un écho en droit français dans le code pénal. La seule différence est que le droit français statue sur le résultat. Les CGU vont plus loin en interdisant la méthode de collecte automatisée quel que puisse être l’impact ou le non impact sur le bon fonctionnement de Facebook.
Toutefois il semblerait qu’à partir du moment où ce crawl est respectueux et ne perturbe pas le fonctionnement de Facebook, la clause des CGU ne soit pas condamnable au regard du droit français.
Il faut toutefois faire attention à ne pas être identifié car en cas de non-respect de ces CGU, Facebook pourrait par exemple supprimer tous les comptes Facebook, Fan Page ou Groupes rattachés.
Par ailleurs, il faut noter que nous avons pris Facebook pour exemple mais que quasiment tous les sites demandant une identification et permettant la publication de contenu ont des CGU de ce type qui s’appliquent.
Attention également, dans certains pays, et selon comment l’utilisateur valide avoir accepté les CGU, elles peuvent être considérés comme contractuellement opposables.
4) Le respect des obligations liées au contrat de travail
L’utilisation des moyens informatiques sur son lieu de travail est soumise à plusieurs cadres juridiques :
- Le droit lié au contrat de travail et à la relation employeur salarié
Contractuellement l’employé doit l’intégralité de son temps de travail à son employeur. Il ne peut être autorisé qu’en cas de nécessité et de façon réduite et minime à avoir une activité personnelle pendant son temps de travail. La durée tolérable « minime et réduite » est à l’appréciation du juge sachant que les dernières jurisprudences réduisent ce temps à une portion très congrue. Les dernières jurisprudences ont pu être plus restrictives que les précédentes qui considéraient qu’un temps de « surf » personnel pouvait être acceptable « au regard des missions et de la charge de travail. » Quoiqu’il en soit, l’interprétation de ce que doit être un temps résiduel revient au juge, cette notion n’ayant pas été clairement définie en termes de durée.
- Le respect de la vie privée
L’employeur ne peut mettre en place des systèmes de surveillance de l’activité de ses salariés sur Internet (et ailleurs) sans l’en avoir préalablement informé.
- La charte d’utilisation des moyens informatiques, qui définit l’utilisation des moyens informatiques sur le lieu de travail et dont l’infraction peut être sanctionnée par l’employeur.
- Le traitement des données personnelles (CNIL), qui interdit la collecte d’informations personnelles non déclarée auprès de la CNIL lorsque les informations collectées vont au-delà des nécessités de l’entreprise (par exemple des fichiers contenant des appréciations personnelles et subjectives.)
En conclusion, il pourrait être possible à l’employeur de mettre en place des systèmes de veille « internes » pour détecter les publications de contenus sur les réseaux sociaux et plus généralement sur Internet par ses salariés mais la plus grande attention devrait être portée à la démarche, à sa formalisation et à son information auprès des intéressés. Tact et modération sembleraient donc être de rigueur !
5) La notion de respect de la vie privée
Il s’agit d’une notion très complexe à définir en droit français car elle est n’est pas définie de façon positive. Autrement dit le droit français définit les infractions à la vie privée sans jamais définir le contour exacte la vie privée.
On peut toutefois dire sans se tromper, qu’en dehors de son temps de travail, l’employé est libre de ses activités.
Cela ne veut pas pour autant dire que le salarié est libéré de son devoir de réserve, de confidentialité, de loyauté et de fidélité à l’égard de son employeur.
Le salarié n’a donc pas le droit :
- De dire du mal de son employeur, ni de le dénigrer ;
- De dévoiler des « informations confidentielles », la notion d’information confidentielle gagnant à être formalisé par l’employeur pour être pleinement opposable à l’employé qui l’enfreindrait limitant ainsi l’interprétation faite par le juge.
L’employeur n’a toutefois pas lieu de présumer que le salarié va enfreindre ses obligations et toute procédure de surveillance d’un employé pendant son temps libre relèverait de l’espionnage et pourrait constituer une atteinte conséquente à la vie privée.
Pour rapporter ces éléments à un dispositif automatisé de veille sur Internet :
- A partir du moment où l’employeur surveille l’apparition d’un nom de marque ou de produits ou de noms de sites de production sur Internet aucun reproche ne semblerait pouvoir lui être fait si par ce moyen il détecte des publications faites à titre personnel par l’un de ses employés.
- Si l’employeur mettait en surveillance le nom de toute ou partie de ses employés sans aucune mention faite au nom de l’entreprise, d’une de ses marques alors l’employé incriminé pourrait considérer qu’il s’agit d’une atteinte à sa vie privée.
La jurisprudence sur ce dernier point, et sur les réseaux numériques est toutefois extrêmement faible voire inexistante mais l’interprétation que je vous propose semble être une règle de prudence évidente à adopter en l’absence de jurisprudence.
Conclusion
Inutile de commenter en disant qu’il ne s’agit pas ici d’une liste exhaustive du cadre juridique pouvant s’appliquer au processus de veille. Je pense que traiter de tous les tenants et aboutissants juridiques liés aux activités de veille pourrait d’ailleurs faire l’objet d’une thèse conséquente et intéressante.
Je n’ai par exemple ici pas abordé les aspects liés au Droit d’auteur sur lesquels je me suis déjà exprimé précédemment et qui sont clairement un cadre juridique à prendre en considération dans tout processus de veille stratégique. Je n’ai pas non plus détaillé outre mesure la constitution de fichiers de données personnelles issues de la veille problématique à laquelle on peut particulièrement être confronté lors de veille image ou de démarche d’e-réputation lorsque l’on cherche à identifier des « influenceurs ».
J’ai bien évidemment passé sur la très polémique LOPPSI 2 et sur les nombreuses questions juridiques qu’elle soulève. J’ai volontairement ignoré la loi en préparation sur le secret des affaires qui n’existe pas encore et qui n’existera je l’espère jamais.
J’espère toutefois que ce billet posera quelques jalons intéressants, quelques bases de réflexion à destination des responsables intelligence économique et veille stratégique. C’est sa principale et seule ambition.