Bibliothèques, libertés et responsabilités


Intervention faite lors du Congrès de l’ABF : Paris, 11 juin 2009

Je me suis appuyée sur une recommandation publiée en décembre 2007 par le Forum des droits sur l’internet (FDI) qui avait trait aux lieux d’accès publics à l’internet, et ce, d’autant plus volontiers que l’Interassociation Archives-Bibliothèque-Documentation (IABD) avait participé aux travaux qui ont donné lieu à cette publication.

1 Des principes à garder en mémoire : la liberté d’expression et de communication

La liberté individuelle est garantie par plusieurs textes fondamentaux :
– la Déclaration des droits de l’Homme et du Citoyen de 1789 ;
– la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales (Conseil de l’Europe) ;
– la Déclaration universelle des droits de l’Homme (Nations Unies).

Dans le cadre qui nous préoccupe aujourd’hui, ce principe s’applique aussi à la consultation libre de l’internet puisque l »Internet est [clairement désormais] une composante de la liberté d’expression et de communication »

Le Conseil constitutionnel l’a reconnu, il y a quelques jours, le 10 juin 2009, en affirmant que « la liberté de communication et d’expression, énoncée à l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789, fait l’objet d’une constante jurisprudence protectrice par le Conseil constitutionnel [et que] cette liberté implique aujourd’hui, eu égard au développement généralisé d’internet et à son importance pour la participation à la vie démocratique et à l’expression des idées et des opinions, la liberté d’accéder à ces services de communication au public en ligne ».

Par, ailleurs, le premier article de la loi « Informatiques et libertés, publiée en 1978 soulignait que « l’informatique doit être au service de chaque citoyen [et qu]’elle ne doit pas porter atteinte à la vie privée ni aux libertés individuelles et publiques ».

On rappellera aussi :
– que les usagers des bibliothèques ne sont pas des salariés,
– que les usagers des bibliothèques peuvent exiger un respect de leur vie privée et davantage de liberté que dans un cadre strictement professionnel et,
– que même les salariés bénéficient d’un droit à quelques usages privés.

Il n’en reste pas moins que les bibliothèques sont amenées à traiter des données personnelles de leurs usagers et que, de manière générale, leur responsabilité peut être engagée pour ne pas s’être conformés à certaines obligations légales.

2. Répondre à des obligations légales

Inutile de tergiverser, quand nous proposons un accès à l’internet à nos usagers, nous sommes des fournisseurs d’accès à l’internet (FAI) et ceci puisque selon l’article L 34-1 du Code des postes et de communications électroniques, « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques ». C’est la loi antiterroriste de janvier 2006 qui avait ajouté cette précision.

A ce titre, selon l’article L 331-1 qui pourrait être inséré prochainement dans le code de la propriété intellectuelle (CPI) par la loi « Création et Internet », la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet.(Hadopi) pourrait, dans le cadre de ses investigations, « obtenir tous document quel qu’en soit le support, y compris les données conservées et traitées par les opérateurs de communications électroniques en application de l’article L 34-1 du Code des postes et des communications électroniques (…) » que je viens de citer.

Vous donnez accès à l’internet ?

Au titre de cet article, la loi vous oblige, en tant que FAI ou assimilé à un FAI, à conserver les données de connexion pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, notamment dans le cadre de la lutte contre le terrorisme.

Mais ces données de connexion doivent être conservées uniquement pour pouvoir les remettre aux autorités judiciaires qui les demanderaient.

Il s’agit des données liées au trafic, ce qui exclut l’obligation de créer des fichiers nominatifs des utilisateurs ou de collecter des informations relatives au contenu des communications. Il s’agit uniquement des données rendues disponibles par les matériels utilisés.

Le FDI, le rappelle aussi : il s’agit d’ »assurer au travail des enquêteurs des ressources leur permettant de mener des enquêtes et d’identifier les délinquants par des recoupements ou témoignages de personnes ».

Quant à la loi « Création et internet », elle sanctionnera tout manquement à des obligations liés à la sécurisation d’un poste.

Ce n’est pas vraiment nouveau : la loi Dadvsi avait déjà mentionné cette obligation . Ce qui aurait été nouveau, c’est la coupure de l’accès à Internet, pour défaut de sécurisation, par une autorité administrative.

Ce qui est nouveau aussi, c’est que l’on ne se contente plus de logs de connexion puisque la Hadopi pourrait exiger une adresse postale et les coordonnées téléphoniques de l’abonné.

La question qui se pose surtout, ce sont les impacts du filtrage technique en termes d’accès.

Résultat d’interviews réalisées auprès de documentalistes opérant dans 7 entreprises du secteur privé (une d’entre elles accueille un public extérieur) :
– tous les salariés signent des chartes généralement lors de leur embauche ;
– les accès sont plus ou moins bridés, quelquefois les mêmes pour l’ensemble de l’entreprise, quelquefois selon divers profils (fonctions).
Mais dans 6 entreprises sur 7, une argumentation permet généralement (pas toujours) de débloquer l’accès au site.

Résultat du filtrage : des juristes qui n’ont pas accès au site du Sénat ou à celui du Conseil d’Etat belge ; des médecins d’hôpitaux psychiatriques qui ne peuvent consulter des sites médicaux parlant de sexe ; l’impossibilité d’utiliser les outils du web 2.0 (fils RSS, netvibes, …) à des fins documentaires, etc.

Les limites de l’accès résultent, certes, d’obligations juridiques, mais bien plus souvent d’obligations techniques (assurer la fluidité du réseau ; limites les risques d’intrusion , …).

Vous hébergez des contenus ?

Au titre de la loi pour la confiance dans l’économie numérique (LCEN), vous devez identifier ceux qui ont contribué à la création de contenus .

Mais les données collectées doivent être conservées de manière sécurisées (ne pas être accessibles à des personnes non autorisées, déformées ou endommagées) et uniquement pour être communiquées, le cas échéant, à l’autorité judiciaire (toute autre finalité serait sanctionnée).

En tant qu’hébergeur, votre responsabilité est engagée si après avoir eu connaissance des faits litigieux (par une procédure de notification très encadrée), vous ne retirez pas promptement les informations illicites.

Il vous incombe aussi de faciliter la lutte contre les contenus odieux (pédopornographie, apologies de crimes contre l’humanité, incitation à la haine raciale).

Vous avez d’autres obligations

Vous mettre en conformité avec les règles de la loi « Informatique et libertés » lorsque vous tenez des listes liées à l’usage de vos fonds et à vos services

La règle générale consiste à :
– déclarer le traitement auprès de la CNIL ;
– informer l’usager de l’existence de cette liste et la finalité poursuivie, de ses droits d’opposition, d’accès, de rectification et de suppression des informations le concernant,
– ne pas utiliser le fichier à des fins autres que celles qui ont été prévues

Mais il y a des dérogations (à connaître) :
– si vous disposez d’un correspondant informatique et libertés (CIL), par exemple, il incombe à cette personne de répondre aux conditions de la loi (un projet viserait à rendre cette fonction obligatoire pour toute structure de plus de 50 salariés) ;
– si vous travaillez dans une association, il suffit de se conformer aux indications de la dispense n° 8
– pour une liste des prêts de documents, une déclaration simplifiée et des règles à respecter .
(…)

Editeur et/ou auteur. Faire respecter les droits d’auteur et éviter tout débordement (délit de presse)

J’avais dressé une liste des situations qui vous mettaient en danger dans un article de la revue Bibliothèque(s) qui avait paru en décembre 2008.

On les détaille aussi dans la recommandation du Forum qui évoque :
– la création collective d’une œuvre ou divers projets culturels,
– l’utilisation des matériels de copie,
– l’alimentation de sites web, de blogs,
– l’utilisation de courriels ou de messageries instantanée, (…)
pour ne citer que quelques exemples.

Il est clair, quoi qu’il en soit, que lorsque le public alimente des blogs, met en ligne des œuvres sur des plateformes collaboratives, votre responsabilité peut être aussi engagée si les usages ou les informations étaient illicites.

3 Comment articuler les obligations liées à la prévention des risques et le principe de liberté ?

Des principes à garder en mémoire

La proportionnalité et la loyauté
La proportionnalité signifie que les mesures de surveillance doivent être pertinentes au regard de l’objectif poursuivi (ni trop, ni trop peu).

La loyauté signifie que les personnes doivent être informées de l’existence des dispositifs de surveillance et que ceux-ci ne soient pas utilisés à d’autres fins.

Informer

Le dispositif doit être encadré par un règlement intérieur et une charte acceptée par les usagers (personnel ou personnes extérieures).

Certains usages peuvent être interdits. On peut décider, en effet, qu’il est interdit de consulter des sites pornographiques dans des espaces ouverts aux mineurs. Mais les usagers doivent en être explicitement informés. Il est préférable de faire accepter ce règlement par écrit à l’usager ou lorsqu’il se connecte.
A Pau, l’usager d’une médiathèque a été exclu pour avoir consulté des sites pornographiques, consultation interdite par le règlement intérieur. Le tribunal administratif de Pau a donné raison à la communauté d’agglomération (bien que l’on n’ait pas pu prouver que l’usager était effectivement au courant).

Mais, comme l’indique aussi le FDI, l’un des meilleurs moyens limitant les risques est la présence physique de l’animateur ou du bibliothécaire dans la salle.

En conclusion

Je reprends ce que l’IABD avait écrit lorsqu’elle avait donné son avis sur le projet de loi « Création et Internet » dans l’un de ses documents intitulé «Offrir un accès public à l’internet. Des responsabilités aux multiples implications »

Elle y avait attiré l’attention sur le rôle pédagogique des services d’archives, de bibliothèque et de documentation et souligné que brider les accès, rendre ces lieux moins attractifs, se passant ainsi de leur dimension pédagogique, serait tout à fait contreproductif.

Notes
[1]          Il s’agit des informations permettant d’identifier l’utilisateur (adresse IP, adresse de courrier électronique, ..) ; des données sur les équipements terminaux de communication utilisés ; des caractéristiques techniques, la date, l’horaire et la durée de chaque communication ; des données sur les services complémentaires demandés ou utilisés et leurs fournisseurs ;des données permettant d’identifier les destinataires de la communication.
[2]          Le titulaire d’un accès à des services de communication au public en ligne doit veiller à ce que cet accès ne soit pas utilisé à des fins de reproduction ou de représentation d’oeuvres de l’esprit sans l’autorisation des titulaires des droits prévus aux livres Ier et II, lorsqu’elle est requise, en mettant en oeuvre les moyens de sécurisation qui lui sont proposés par le fournisseur de cet accès en application du premier alinéa du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
[3 ] Un décret doit, après avis de la CNIL, doit définir les données concernées et déterminer la durée et les modalités de leur conservation. Il n’est toujours pas publié.
[4]  Dans le cas d’une déclaration simplifiée, il suffit de s’engager par écrit à respecter les obligations qui y sont définies et de le signifier à la Cnil dans un formulaire proposé en ligne sur son site.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *