Votre avis ?
    Mot de passe perdu ?
Conception et mise en oeuvre d'outils et de services numériques - Accompagnement technique et support du réseau FormaVia
Télécharger en PDF Page lue par 1 membre(s) et 2353 affichage(s)

[dossier C2i2e] Conception de dispositifs web, du point de vue légal : chartes, mentions légales, informations personnelles, fichiers et déclarations CNIL (Accès: Lecture : Public)

le 6 Juillet 2012 par Florian Daniel   Commentaires (0)

, ,

doc de travail

Déclaration CNIL

L'édition, l'administration ou la mise en place d'un site internet pose la question des informations collectées, et de leur traitement. De fait, l'activité d'ITEMS nécessite de se préoccuper des questions de responsabilité éditoriale et de déclaration du site auprès de la CNIL. Cela se limite généralement au niveau du conseil, nos clients faisant habituellement eux-même ces démarches déclaratives - ils disposent d'ailleurs généralement d'une cellule juridique qui se charge de définir qui assume la responsabilité d'éditeur des sites concernés. A ce jour, il ne m'est ainsi arrivé qu'une seule fois de faire une déclaration auprès de la CNIL, concernant un fichier de données contenant des éléments personnels, collectés dans le cadre du fonctionnement d'une plateforme collaborative, et qui ne faisait l'objet d'aucune utilisation ; la question s'était alors posée de devenir correspondant CIL afin de faciliter les démarches futures, mais le nombre de sites concernés que nous gérons en propre ne justifiait pas le temps requis par cette démarche.

 

Gestion des données et informations personnelles

Il arrive plus fréquemment que nous devions gérer des demandes d'accès, de modification, et le plus souvent de suppression des informations personnelles collectées : le préalable est l'information des utilisateurs, généralement via une indication appropriée "informations personnelles" qui indique la marche à suivre, et consiste typiquement à proposer une adresse de contact pour faire part de sa demande. Sur FormaVia, le process-type que j'ai défini -dans le cas particulier d'une demande de suppression de compte- est de s'assurer que les implications de la demande sont bien comprises, la suppression du compte et des informations personnelles associées entrainant également la suppression de toutes les publications de l'auteur, puis d'y accéder en effectuant une vérification via l'adresse d'inscription : le demandeur doit confirmer sa demande en réponse à un mail adressé à son adresse d'inscription. Cette disposition vise à éviter la suppression non souhaitée d'informations, et à vérifier que le demandeur est bien habilité à faire cette demande.

Je me charge également du maintien des liste de contacts : requalification après chaque envoi massif, validation des envois sur des adresses protégées par des services du type MailInBlack, suppression des adresses qui ne sont plus valides, changement d'adresse ou de contact le cas échéant, mais toujours après une prise de contact direct pour confirmer que la nouvelle personne en poste souhaite bien recevoir les mêmes informations que son prédécesseur. De même, lorsque quelqu'un souhaite se désinscrire je vérifie que cela est bien répercuté dans les diverses listes de contacts. Afin de faciliter le droit d'accès et de modification des destinataires aux informations les concernant, chacun des envois comporte un lien de modification ou de suppression de son adhésion à la liste.

L'administration de bases de données contenant des données nominatives ou privatives, notamment dans le cas des intranets qui diposent d'une messagerie interne, ou de l'administration des adresses mail de l'entreprise, ajoute la question de la confidentialité des correspondances privées, et des obligations de réserve vis-à-vis des informations qu'un administrateur est susceptible d'y trouver. Les responsaibilités correspondantes sont décrites dans les guides du Syntec, syndicat professionnel de ces métiers de l'information, notamment le guide n°21 relatif au "contrôle de l'usage par le salarié de l'outil informatique de l'entreprise", qui rappelle les principes de finalité et de proportionalité qui s'appliquent à tous types de données personnelles et à leur surveillance éventuelle. Par principe, un administrateur s'interdit d'accéder à toute information privative et plus encore personnelle, toutefois ses tâches (en cas de "plantage" par exemple) peuvent nécessiter l'accès à certaines de ces informations : ce type de guide décrit dans quelle mesure cela est possible ou non, et avec quel niveau de risque, la jurisprudence étant encore très floue ou variable en ce qui concerne l'accès aux données personnelles, ou pour définir les limites de la responsabilité éditoriale des hébergeurs, éditeurs et contributeurs de sites participatifs.

Lorsque ces questions revêtent une dimension critique pour nos clients, ou portent sur des points précis de jurisprudence, nous faisons appel à un juriste spécialisé avec qui nous travaillons régulièrement et qui apporte un point de vue plus précis.

 

Hadopi : un exemple d'application en entreprise

Les envois de courrier par la haute autorité pour la diffusion des oeuvres et la protection des droits sur internet (HADOPI) m'offrent un cas d'école pour le respect de la législation sur le lieu de travail : nous avons en effet reçu un tel courriel en février dernier, relatif au constat d'une infraction commise à partir de l'une des adresses IP correspondant à nos locaux. Dans la mesure où nous travaillons en réseau, hébergeons une autre entreprise dans nos locaux, et accueillons régulièrement des visiteurs variés, susceptibles de se connecter à une demi-douzaine de points d'accès différents. Etant donné nos moyens informatiques tout à fait modestes (ce n'est même pas officiellement mon rôle en interne), aucun système de filtrage ou de traçage n'avait été mis en place - cela qui aurait posé d'ailleurs d'autres questions et des cas de conscience sur la surveillance des salariéset visiteurs.

Suite à ce signalement, j'avais donc tenté d'obtenir plus d'informations par téléphone sur l'infraction constatée, celle-ci étant très elliptique, et ne signalant que l'adresse IP, le nom du logiciel utilisé, la date (2 mois plus tôt !) et le nom de l'oeuvre, mais pas celui du fichier si sa taille.

Le central téléphonique de l'autorité redirige les appels "entreprise", qui bénéficient apparemment d'un support spécifique : après quelques questions d'identification de l'entreprise et de l'interlocuteur, l'entretien vise en particulier à décrire l'environnement informatique ambiant, et en particulier estimer le nombre d'accès à internet et leur sécurisation : dans notre cas 6 points d'accès WiFi, tous sécurisés en WAP (sécurité "standard") ou WEP (système plus ancien, maintenant considéré comme facile à casser), et environ 50 personnes différentes par mois, dont les 4/5e extérieures à l'entreprise. Une fois ces renseignements fournis, l'opérateur indique des moyens de sécuriser sa connexion et faire respecter la loi, dans une approche "raisonnable" qui visait principalement à sécuriser les connexions WiFi et à informer les utilisateurs. Sur la base de mes réponses, et réserves sur les possibilité de filtrage des connexions, il signale que cet entretien fera l'objet d'un procès-verbal, qui fait état de la bonne volonté de l'interlocuteur de l'entreprise de faire respecter les dispositions de la loi sur le téléchargement illégal.

Suite à ma demande concernant d'éventuels documents d'information à afficher, ainsi que des informations complémentaires permettant de préciser la nature du fichier incriminé, j'ai eu la surprise d'apprendre que l'autorité n'en prévoyait pas a priori, et le courrier que nous avons reçu par la suite ne contenait finalement aucun des documents ou informations évoqués.

Une brève réunion d'information a suivi cet appel, afin d'informer sur la réception de ce courrier et les risques que des pratiques des téléchargement illégales faisaient courir à l'entreprise. Ce mini-débat a surtout été l'occasion de rappeler le rôle, les moyens et le champ d'application d'Hadopi, ainsi que son positionnement sur les questions de streaming, et tout simplement ce qu'il est légal de télécharger ou non. L'objet n'était pas d'identifier l'auteur de l'infraction, mais plutôt de parvenir à un consensus sur la bonne utilisation des ressources partagées  : en l'occurrence pas de contrôle mais une responsabilisation de chacun.

 

Chartes

Les chartes ne se substituent pas aux lois, aussi n'est-ce pas tant pour des raisons légales que liées au projet que nous sommes amenés à les définir : elles constituent le cadre de fonctionnement du projet, font état de ses valeurs et principes. La charte constitue surtout l'élément clef sur lequel la fonction d'animation va pouvoir s'appuyer pour justifier des actions de modération engagées : il s'agit avant tout d'une charte sociale, idéalement co-construite par les membres qui vont l'accepter. Au même titre que la défintion d'une association, elle définit l'objet du projet, son étendue et son public (qui est membre ou a tel rôle), ses valeurs et ses modalités d'organisation, avec l'objectif de créer un espace de confiance.

La charte est en outre un objet vivant, qui peut évoluer en fonction de l'évolution de la communauté qui l'a mise en place. La charte de Départements-en-réseaux.fr, plateforme réservée aux agents et élus des Départements, se présente ainsi de cette manière :

CHARTE D’UTILISATION DE « DEPARTEMENTS-EN-RESEAUX »
V1 / Juin 2012
 
1 – « Départements-en-réseaux » : objet, participants

A) Cette plateforme est un outil favorisant la constitution de groupes de réflexion et de travail, l’échange d’information, d’analyses et de pratiques entre les membres inscrits dans tous les champs d’intervention et d’actions des politiques publiques mises en œuvre par les Conseils Généraux. Elle est aussi consacrée à la mutualisation des projets et à la promotion et à la gestion des coopérations interdépartementales.

B) Départements-en-réseaux est une plate-forme collaborative destinée à faciliter la réflexion, l’expression, les échanges et les débats d’une part entre les élus départementaux, et d’autre part entre les professionnels et les techniciens des Départements de France, tout en laissant ouvertes les possibilités de groupes communs spécifiques, propres à certaines problématiques à aborder selon un prisme commun.

 
2- Inscription et accès à « Départements-en-réseaux »
L’accès à la plateforme « Départements-en-réseaux » est strictement réservé aux personnes travaillant au sein des Conseils Généraux grâce à un filtrage opérant sur les adresses électroniques professionnelles (élus ou agents des Départements) [...]

 
3 - Services proposés par « Départements-en-réseaux »
« Départements –en-réseaux » offre aux utilisateurs la possibilité de rendre visibles leurs compétences, leurs analyses, leur questionnements, leurs travaux et leurs projets professionnels [...]

 
4 - Utilisation du réseau et création de contenus
    « Départements-en-réseaux » est un espace public auquel s’applique toute la législation en vigueur dans les domaine de l’édition et de la publication [...]
 
5 – Autres principes
    Toute contribution aux débats, discussions, échanges,…, est bienvenue. Elle et encouragée dans un climat de bienveillance et de respect de chacun et des usages sociaux.
    Les utilisateurs inscrits au réseau décident de l’accès public ou réservé qu’ils souhaitent donner à leurs données, profil et contenus.

 

Contenus et licences d'utilisation

Je suis régulièrement amené à proposer des moyens de protéger les oeuvres de mes apprenants / clients / partenaires, tout en proposant des moyens de les valoriser et de les diffuser : la question se pose en particulier avec des collectivités qui disposent de photothèques ou d'un fond photographique, ou lorsqu'il s'agit d'illustrer un site internet ou un document papier. La question des Creative Commons, licences conçues précisément pour répondre à ces questions et qui proposent certains droits de réutilsation et de diffusion, tout en garantissant (du moins pour sa transcription en droit français) certains droits à son auteur, notamment patrimoniaux, et de contrôle de l'utilisation commerciale ou des dérivations qui peuvent être faites à partir de cette oeuvre.

Le choix qui a été fait pour les productions -collectives- du réseau FormaVia est ainsi celui de la licence CC-BY-NC-SA, avec CC: Creative Commons, BY: avec mention de l'auteur, NC: sans utilisation commerciale, SA: partage sous les mêmes conditions de oeuvres dérivées ; ce choix permet une réutilisation large avec des contraintes légères tout en garantissant que les productions ne pourront être utilisées que d'une manière qui contribue à l'enrhichissement de l'ensemble de la communauté, puisque toute oeuvre dérivée doit être reversée dans les mêmes termes, et que ces productions ne peuvent faire l'objet d'une exploitation commerciale sans autorisation de ses auteurs.

Dans le cadre du travail sur ces sujets de propriété et de droit d'usage qui questionnaient les pratiques des membres du réseau FormaVia dans les années 2008-2010, notamment en ce qui concerne les supports de foramtion, j'avais construit une page de synthèse sur les Creative Commons sur le wiki de FormaVia à partir d'informations issues du réseau lui-même, et de sa veille collaborative.

J'utilise moi-même régulièrement des images sous licence Creative Commons dans des supports de présentation ou de formation, généralement issues de FlickR, service qui propose des options de recherche adaptées pour filtrer les oeuvres en fonction des besoins propres à chaque projet. Il existe également des moteurs de recherche "verticaux" qui ne renvoient que des contenus sous licence Creative Commons -ou autre-, mais ce besoin restant assez occasionnel pour moi, je me contente de FlickR. A contrario, j'utilise plusieurs plateformes pour la recherche de supports de formation libres ou sous licence permettant la réutilisation, notamment en piochant dans les bibliothèques d'universités ou grandes écoles -qui ont pour beaucoup des programmes liés à l'"Open Education Content", et quelques ressources librement diffusées ainsi.

La question des contenus ouverts pose celle de la différence fondamentale entre accès et propriété, très claire en droit, mais beaucoup moins évidente pour des étudiants lorsqu'il s'agit d'expliquer qu'il est légal de visionner une vidéo d'un concert diffusé sur internet, et éventuellement de l'enregistrer dans le cadre de la copie privée -que les box internet et autres TV disposant d'enregistreurs numériques ont largement facilité-, mais qu'il est illégal de rediffuser ces copies : la différence entre la détention du fichier et l'utilisation qui en est faite n'est pas prête d'être résolue, et les débats à ce sujet restent vifs !

 

Croisement des informations et vérification des sources

L'accès généralisé à l'information, et la masse des informations présentes sur le web donnent un sentiment d'abondance ou de facilité qui peut devenir problématique en l'absence d'éducation critique et de discernement dans la sélection des informations. Si le desssin humoristique de Steiner ne fait plus le "buzz" ("On the internet, no one knows you're a dog", P. Steiner, 1993), une approche critique des informations devient d'autant plus cruciale que les dispositifs d'accès se démocratisent à tous âges, et que l'accès permenent ou preque à internet -via mobile- se fait dès le collège, voire plus tôt. L'expérience -controversée- d'un professeur de Lettres est à ce sujet intéressante : cet professeur a truffé le web de "marqueurs" contenant des informations sciemment erronnées, en favorisant leur référencement, pour identifier la part de plagiat et de non-recoupement des informations. L'auteur de cette expérience défend qu'il n'est pas nécessaire d'avoir une éducation spécifique au web : "Je tire profit du numérique parce que l'école m'a donné des capacités de raisonnement, une culture personnelle et par conséquent la distance critique nécessaire pour appréhender le web. Voilà ce qui peut vraiment servir à mon sens, d'éducation au web" ("Loys", 2012).

Il me paraît intéressant, avec des étudiants, de mener de petites enquêtes qui combinent accès critque aux informations et image de soi en ligne : à partir d'un simple nom, identifier les informations relatives à une personne pour en faire le portrait, à l'instar de cette expérience menée par un journaliste du Tigre, qui avait voulu montrer ce que l'on montre de soi à travers les traces qu'on laisse en ligne. Ce type d'exercice impose de recouper les sources d'information, pour éliminer les homonymes, puis filtrer parmi les informations celles qui relèvent de faits établis ou d'allégations tierces sans fondement. L'exercice est naturellement plus intéressant pour les étudiants sous l'angle de la maîtrise des informations personnelles, et l'évocation d'un travail similaire mené par un journal satirique en : autant profiter de ces sujets quasiment émotionnels pour former à la démarche critique.

Le croisement et la vérification des informations, déjà utile et important dans la sphère privée, prend parfois une tournure véritablement scientifique dans la sphère professionnelle, notamment lorsqu'il s'agit d'alimenter des études avec des données fiables : une fois l'information ou la donnée juste trouvée, il s'agit de remonter à la source initiale, afin d'identifier comment a été construite la donnée, critère essentiel pour en évaluer la fiabilité selon la question qui nous intéresse, et la finalité de cette donnée, qui détermine l'usage qu'il sera possible d'en faire. Cette tâche qui devrait a priori être simple s'avère très délicate dans des secteurs précis ; j'ai pu en faire l'expérience dans deux des domaines pour lesquels ITMS a réalisé des études récemment, et auxquelles j'ai participé -à la marge- pour la collecte de données brutes et la construction d'indicateurs statistiques : usages et appropriation des TIC (Etude réalisée pour le SGARE Alsace, M. Ronai, 2011), et chiffres sur le coût comparé de diverses sources d'énergies. Dans un cas comme dans l'autre, les chiffres fournis par les études que nous avons consuiltées peuvent être extrèmement variables, car déjà dérivés d'autres données qui ne sont pas citées, ou à travers des amalgames. Prenons l'exemple des sources d'énergie, par exemple l'éolien : les chiffres indiqués sont généralement des chiffres nominaux, c'est-à-dire ceux qui sont vrais dans des conditions de fonctionnement optimales, conditions qui ne se produisent par définition jamais, et faussent les chiffres dérivés de manière importante si ceux-ci servent de base de calcul pour extrapoler sur la part de ce type d'énergie dans la production globale. En ce qui concerne les statistiques d'usages des TIC en Alsace, certaines des données statistiques disponibles étaient tellement peu fiables (discontinuité dans le temps, disparité des méthdologies de construction des indicateurs, sources élusives), qu'il nous a paru préférable de construire directement nos propres jeux de données à partir de sources comparativement représentatives, par ex. le nombre d'utilsateurs comparés de Wikipedia, d'Open street map ou de réseaux sociaux grand public comme Viadeo, Youtube, Linkedin ou Facebook pour disposer d'indicateurs non réprésentatifs, mais qui permettent au moins une comparaison avec d'autres territoires.