La mise à disposition d’Internet à des publics externes — espaces publics numériques, EPN : espaces multimédia, accès en médiathèque, archives, services de documentation, cyberbases —, n’est pas une opération neutre : elle permet à des publics d’accéder à Internet à ses risques ; elle leur permet aussi de commettre des actes répréhensibles ou simplement nuisibles. Toutes sortes de questions de responsabilité juridique doivent donc se poser, pouvant impliquer le contrôle de l’activité de l’usager.

Les pôles de risques

À un premier pôle se trouvent les risques pour l’institution qui met Internet à disposition : négligence et défaut de surveillance, mais aussi risques d’intrusion de virus et autres programme indésirables susceptibles d’endommager ses équipements.
À l’autre pôle se trouve l’usager lui-même susceptible de commettre des actes prohibés par la loi, nuisant aux autres usagers ou à des tiers.
Dans les deux cas, il importe de tracer les usages pour remonter à la faute. Comme dans la cyber-surveillance en entreprise, on se retrouve entre liberté et contrôle…

Le cadre légal et ses conséquences

S’agissant d’accès fournis à des publics externes et non à des salariés, le droit du travail ne s’applique pas comme pour la cyber-surveillance en entreprise. Mais on retrouve d’autres règles de base.

Le rempart de la liberté individuelle

Il importe de remarquer que l’usager qui vient dans un EPN le fait à titre purement privé, dans le cadre du respect de sa vie privée et de sa liberté individuelle. Cette liberté est garantie en droit français par la Déclaration des droits de l’homme et du citoyen du 26 août 1789, annexée en préambule à notre actuelle Constitution, par la Convention de sauvegarde des droits de l’homme et des libertés fondamentales du Conseil de l’Europe du 4 novembre 1950, et par la Déclaration universelle des droits de l’homme de l’ONU du 10 décembre 1948. Ajoutons à cela l’art. 9 du code civil qui dispose que : « Chacun a droit au respect de sa vie privée ».
Le contrôle ne se justifiera donc que dans la mesure où les agissements de l’usager sont susceptibles de nuire à des tiers. En outre, le contrôle ne se justifie que dans la mesure où la responsabilité dépasse celle de l’usager et peut rejaillir sur l’institution médiatrice.
Sur ce double terrain, il est possible de prévoir qu’un animateur sur le lieu de consultation puisse intervenir lorsqu’il devient évident que la consultation de certains sites, au vu et au su des autres usagers, puisse être choquante, a fortiori contraire à la protection des mineurs si l’espace de consultation est mixte (adultes / jeunesse).
Mais serait considéré comme intrusif l’usage de dispositifs permettant de surveiller la navigation de chaque internaute à son insu (dispositifs de visualisation en double de l’écran de consultation, voire de prise de contrôle du clavier). Par analogie avec la cyber-surveillance en entreprise, on pourrait considérer qu’à partir du moment où les usagers sont avertis de l’existence d’un tel dispositif, celui-ci peut être mis en œuvre. Si cette solution peut être admise en entreprise, au nom du lien de subordination du salarié justifiant un certain contrôle de son activité et de sa productivité, elle ne se justifie en rien à l’égard d’un internaute, hôte du lieu de consultation qui se doit de respecter sa liberté et sa vie privée. On ne peut donc pas se permettre de regarder les pages qu’il visite. Il n’existe pas de texte ni de jurisprudence sur cette question précise ; nous suivons et rejoignons ici les recommandations de la CNIL (Commission nationale de l’informatique et des libertés) et celles du Forum des droits sur l’Internet.

La loi Informatique, fichiers et libertés

Dans le mesure où les usagers sont identifiés, avec ou sans contrôle formel d’identité, pour accéder à Internet dans un EPN, la loi du 6 janvier 1978 s’applique à deux niveaux.
D’abord il convient de garantir l’information de l’intéressé (art. 32 de la loi : mention du responsable du traitement, finalité poursuivie par ce traitement, droits que l’intéressé tient de la loi : art. 38 à 40 : droits d’opposition, d’accès, de rectification et de suppression).
Ensuite, existe l’obligation de déclarer le fichier automatisé à la CNIL, sauf dans certains cas (présence d’un CIL – Correspondant informatique et libertés – au sein de l’institution ; association dispensée de déclarer le fichier de ses membres, sous réserve de satisfaire aux conditions définies par la dispense – dispense n°8 : délibération CNIL n°2006—130 du 9 mai 2006).
Il s’agira dans ce cas d’une déclaration dite normale, prévue par l’art. 22 de la loi. Celle-ci peut être effectuée en ligne, sur le site de la CNIL.

L'EPN fournisseur d'accès

L’institution médiatrice est à n’en pas douter un fournisseur d’accès Internet (FAI). Les contraintes légales et de responsabilité sont susceptibles de reposer sur elle. La question s’est animée lorsque les pouvoirs publics ont renforcé l’obligation de conservation des données de connexion, face aux menaces terroristes. La loi du 23 janvier 2006 prévoit que « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques » (art. L.34-1 code des postes et communications électroniques). En clair, il s’agit de conserver toutes les données de connexion pendant un an. Depuis lors, la question est toujours débattue de savoir si une collectivité publique ou une association offrent un accès à Internet à titre professionnel, accessoire ou principal. Le Forum des droits sur l’Internet, précité, appelle à une clarification par les pouvoirs publics, cependant que la CNIL considère qu’il n’incombe pas à l’EPN de conserver de telles données, tâche relevant de son propre FAI.
Face à cette ambigüité, nous rejoignons à nouveau le Forum qui recommande une conservation a minima : trafic Internet de chaque poste ; adresses IP consultées ; port utilisé ; date et heure des transactions. Ajoutons que ces données ne sont destinées à servir qu’aux termes d’une procédure d’instruction judiciaire dans le cadre de poursuites pénales.

La force d'un règlement intérieur

La rédaction d’un règlement intérieur (encore appelé parfois Charte), édictant les règles du jeu, permet de lier l’usager par un engagement soit contractuel, soit par voie d’acte règlementaire, au même titre qu’un arrêté municipal interdisant tel stationnement à tel endroit, pour les collectivités locales habilitées à édicter des actes réglementaires. Même dans ces cas, il peut être utile de faire accepter individuellement le règlement par chaque usager lorsqu’il s’inscrit ou à défaut lorsqu’il se connecte : écran lui proposant la lecture du règlement et à partir duquel il doit accepter ledit règlement avant d’être autorisé à se connecter. Cet accord prend valeur contractuelle et l’usager est censé se conformer aux règles et aux sanctions qu’il a acceptées. Il peut donc être exclu temporairement ou définitivement de l’espace public numérique, si ces sanctions sont prévues. C’est aussi dans ce règlement qu’il est conseillé d’inclure des clauses limitatives de responsabilité de l’institution et de ses personnels.

Une reconnaissance jurisprudentielle

Assez récemment, le tribunal administratif de Pau a admis la validité et l’applicabilité d’un tel règlement intérieur à propos d’un internaute exclu pour s’être connecté sur des sites pornographiques, formellement interdits par le règlement intérieur (TA Pau, 18 septembre 2007). Le tribunal constate que le règlement avait été adopté par le conseil de la communauté d’agglomération et qu’il prévoyait son application par le personnel de la médiathèque. La décision est critiquable en ce qu’elle admet d'un cœur un peu léger qu'une simple mention dans le règlement intérieur suffise pour considérer que l'usager était au courant de l'éventualité des contrôles, alors qu'en matière de cyber-surveillance en entreprise, les personnels et les instances représentatives doivent être expressément informées.

Les recommandations du Forum des droits sur l'Internet

Les aspects juridiques de l’accès public à Internet ont été traités plus en détail par le Forum des droits sur l’Internet qui a publié des « Recommandations sur les lieux d’accès publics à l’internet », en date du 28 décembre 2007 (www.foruminternet.org).

À retenir

Il convient de naviguer soigneusement entre liberté de l’usager et surveillance pour éviter le pire. Le règlement intérieur reste la pièce maîtresse de l’édifice qu’il importe de soigner dans sa rédaction.

|cc| Didier Frochot — octobre 2005 — septembre 2010