Tenir un registre des personnes accédant à Internet en bibliothèque, est-ce obligatoire ?


La loi antiterroriste et la loi Hadopi contiennent des dispositions applicables à des personnes morales qui offrent un accès  à l’internet à un public. Mais ces dispositions s’appliquent-elles aussi aux bibliothèques, aux services d’archives et d’information ? Dans l’affirmative, quelles sont leurs obligations  réelles ?

Explication de texte par l‘Interassociation Archives-Bibliothèque-Documentation (IABD), association à laquelle j’appartiens, soit un texte que je ne peux manquer de relayer.

____________

Offrir un accès à l’internet dans une bibliothèque, un service d’archives ou d’information.

Les conditions juridiques

Entre les missions des bibliothèques, des services d’archives et d’information et les obligations légales, quelle est la  frontière entre un service ouvert à tous et le respect de la loi ? Comment interpréter les mesures préconisées et/ou imposées par le législateur avec  la tradition d’un accès le plus large possible à l’information et à la connaissance ? Y a-t-il un espace d’interprétation propice à la sauvegarde des libertés ? Partageons-nous une posture professionnelle respectueuse du droit mais aussi des intérêts des usagers ?

Quelles  obligations légales ?

  • Conserver les logs de connexion ?

Internet peut être libre et gratuit pour le public ; les établissements ne sont pas tenus de recueillir l’identité des personnes à qui ils proposent un accès à l’internet ; l’usager peut même utiliser un pseudo pour se connecter et avoir accès à ses espaces personnels. En revanche, on doit pouvoir identifier l’ordinateur à l’origine de l’usage illicite par une adresse IP fixe.

La seule obligation qui s’impose aux bibliothèques, aux services d’archives et d’information (ou aux organismes dont ils relèvent) est  de remettre, lors d’une réquisition judiciaire ou administrative, selon les cas, les logs de connexion (note 1) et toutes les informations qu’ils détiennent (note 2). Ces informations seront recoupées par les services chargés de l’enquête pour retrouver la personne à l’origine de l’infraction. L’antériorité exigible pour les données est d’un an.

  • Sécuriser les postes ?

La loi n’impose pas que l’on filtre les accès à l’internet des ordinateurs mis à la disposition du public (note 3). Installer des filtres pour bloquer certains sites susceptibles d’être pénalement répréhensibles  ne permettrait que de limiter sa responsabilité en cas de réquisition judiciaire, c’est-à-dire seulement après avoir reçu une lettre recommandée enjoignant l’abonné de sécuriser son poste.

En revanche, le fait de munir de filtres  les ordinateurs proposés au public limite de manière arbitraire l’accès à l’internet alors que cet accès constitue une liberté publique consacrée par le Conseil constitutionnel [5].

  • Remettre des informations nominatives ?

C’est une obligation qui ne s’impose, au titre de la loi Hadopi, qu’aux organisations qui opèrent en tant que FAI (les services informatiques des universités, par exemple). Il incombe, en effet, aux FAI de fournir aux personnes chargées de l’enquête les informations détaillées dans le décret du 5 mars 2010, dont certaines sont nominatives (note 4).

Le poids de chartes et des règlements

Chartes et règlements intérieurs permettent d’informer le public des bibliothèques sur les usages interdits, sur la surveillance dont ils peuvent faire l’objet et sur l’existence éventuelle de filtres.

D’autres documents destinés aux bibliothécaires leur rappellent le contrôle qu’il convient d’exercer et leur obligation de mettre fin à tout usage de l’internet qui serait manifestement illicite (contrefaçon, cyberpédopornographie, activités terroristes, etc.). L’enquête permettra d’évaluer, en fonction d’un contexte, la diligence du personnel.

Nulle obligation d’identifier les personnes ni même de filtrer les accès à l’internet

En cas de réquisition, les bibliothèques, les services d’archives et d’information abonnés à des FAI doivent remettre aux enquêteurs les logs de connexion et toute autre information habituellement recueillie. Il leur est recommandé de remettre aussi les chartes communiquées aux usagers et les informations destinées aux personnels.

_______

Que disent les textes ?

La loi anti-terroriste

L’obligation de conserver pendant un an les données de connexion, imposée aux fournisseurs d’accès Internet (FAI) par la loi anti-terroriste du 23 janvier 2006 [1], est étendue à tous ceux qui offrent un accès à l’internet à leur public.

Comme l’indique le Forum des droits sur l’internet [7], la conservation des logs peut se faire de trois manières différentes :

–         en utilisant localement des unités de stockage dédiées associées à un routeur mis en place pour assurer la répartition du trafic interne entre les différents postes ;

–         en confiant cette obligation au FAI auprès duquel on a acheté des abonnements à plusieurs adresses IP publiques correspondant au nombre de postes ;

–         en confiant l’enregistrement à un tiers prestataire de services.

La loi Hadopi

La loi dite Hadopi [3] dissocie les obligations des FAI de celles des titulaires d’un abonnement à l’internet. La responsabilité d’une bibliothèque, d’un service d’archives ou d’information  titulaire de plusieurs abonnements auprès d’un FAI n’est engagée pour les usages illicites réalisés à partir des ordinateurs connectés au réseau mis à la disposition du public que si les postes n’ont pas été sécurisés, après en avoir reçu l’injonction écrite de la Haute Autorité pour la diffusion des œuvres et la protection des droits d’auteur sur Internet (Hadopi).

___

Qu’en conclure ?

Ni la loi anti-terroriste, ni la loi Hadopi n’obligent ces établissements à identifier les utilisateurs des ordinateurs mis à leur disposition, ni à conserver des informations nominatives pour les remettre lors d’une enquête diligentée par un juge au titre de la loi Hadopi, ou d’une personnalité qualifiée placée auprès du ministre de l’Intérieur au titre de la loi anti-terroriste, ni même à filtrer à titre préventif les accès à l’internet.

Le respect des usages traditionnellement admis dans les bibliothèques, services d’archives et d’information reste compatible avec les obligations juridiques qui leur sont imposées, dès lors que les professionnels appliquent la loi, toute la loi, rien que la loi.

_____________________

Textes

  1. Loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers. Sur le site Légifrance
  2. Décret 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques. Sur le site Légifrance
  3. Loi n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet. Sur le site Légifrance
  4. Décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet ». Sur le site Légifrance
  5. Décision n° 2009-590 DC du 22 octobre 2009. Loi relative à la protection pénale de la propriété littéraire et artistique sur internet. Sur le site du Conseil constitutionnel

Recommandations – Déclarations

6.  Offrir un accès public à l’internet : Des responsabilités aux multiples implications. Déclaration de l’IABD, 10 mars 2009. Sur le site de l’IABD

7.  Les lieux d’accès public à l’internet. Recommandation du Forum des droits sur l’internet, 28 décembre 2007. Sur le site du Forum des droits sur l’internet

8.         Non au portail blanc. Déclaration de l’IABD du 6 mars 2009. Sur le site de l’IABD

Notes

(1) Logs de connexion

Les données relatives au trafic s’entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi.

Cette obligation s’impose à toutes « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit», une définition qui concerne les cybercafés mais également les bibliothèques.

Il incombe aux opérateurs de communications électroniques de conserver pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :

a) Les informations permettant d’identifier l’utilisateur; [c’est-à-dire celles qui sont enregistrées par lors des communications]
b) Les données relatives aux équipements terminaux de communication utilisés ;
c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
e) Les données permettant d’identifier le ou les destinataires de la communication.

(2) Les données nominatives seront remises uniquement si celles-ci sont déjà recueillies habituellement.

(3) Selon l’article 25 de la loi sur le droit d’auteur et les droits voisins dans la société de l’information (Dadvsi), le  titulaire d’un accès à des services en ligne de communication au public en ligne doit veiller à ce que cet accès ne soit pas utilisé à des fins de contrefaçon, en mettant en oeuvre les moyens de sécurisation qui lui sont proposés par le fournisseur de cet accès en application de  la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. N’étant pas assortie de sanction, cette disposition  ne peut pas être mise en œuvre.

(4) Loi Hadopi. Décret du 5 mars 2010

Les données conservées par les agents assermentés travaillant pour les ayants droit : date et heure des faits ; adresse IP des abonnés concernés ; protocole pair à pair utilisé ; pseudonyme utilisé par l’abonné ; informations relatives aux œuvres ou objets protégés concernés par les faits ; le  nom du fichier présent sur le poste de l’abonné (le cas échéant) ; le nom de son fournisseur d’accès à internet.

Les données à fournir à la Hadopi par les FAI: noms et prénoms de l’abonné, son adresse postale et son adresse électronique ; ses coordonnées téléphoniques et son adresse d’installation téléphonique.

(5) La bibliothèque titulaire d’un abonnement encourt des sanctions pénales : une contravention de 5ème catégorie (amende de 1500€), une coupure de l’accès à Internet d’un mois et une obligation de mettre en œuvre un « moyen de sécurisation » labellisé par la Hadopi.

IABD, 25 mars 2010


3 comments

  1. Poisson Radieux dit :

    Merci pour ce texte très intéressant. J’aurais simplement une remarque : il ne faut pas confondre la sécurisation des postes (qui consiste à limiter les droits d’accès de l’usager au système informatique – pas d’installation de logiciels, pas d’accès aux fichiers système, etc.) et le filtrage (qui limite ses droits d’accès aux contenus et aux sites Internet). Si le second ne me paraît pas défendable quelles que soient les circonstances, le premier me paraît être une simple mesure de bon sens…

  2. Jean dit :

    Bonjour,

    Est-ce que c’est article est toujours à l’ordre jour après la publication des différents décrets HADOPI ?

    Merci.

  3. Kobé dit :

    Bonjour,

    Si j’en crois l’article des représentants de la CNIL dans le numéro du Bulletin des bibliothèques de France consacré au droit
    Quelles obligations pour les bibliothèques qui souhaitent offrir un accès à internet ? et comme l’IABD l’avait souligné, la responsabilité des bibliothèques est engagée pour les téléchargements illicites qui sont faits à partir des postes qu’ils mettent à la disposition de leurs usagers. Elle est engagée aussi pour défaut de conservation des logs de connexion. Cela nous l’avons toujours souligné.

    Il n’en reste pas moins que si des mesures de sécurisation doivent être prises, l’identification – si cette procédure n’a pas été adoptée auparavant – n’est pas imposée lorsqu’il s’agit de proposer un accès à Internet. Mais dans le cas d’une enquête, la tenue d’un liste de personnes fait partie des éléments qui permettrait, et c’est ce que l’on a pu retenir, non d’échapper à toute poursuite mais d’alléger sa responsabilité.

    En revanche, et ce n’est pas nouveau (l’obligation date de la LCEN de 2004), si les internautes déposent des contenus, ils doivent être identifiés. Parmi les articles qui présente ce décret, je vous propose celui-ci, écrit sur le blog « Clair & Net, le blog d’un avocat.

    La question reste très délicate et je reste à votre disposition pour en discuter.

    Bien cordialement,
    Michèle Battisti

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *