Les spywares ou espiogiciels envahissent nos ordinateurs !
Ces petits programmes informatiques se multiplient via les programmes diffusés et téléchargeables sur Internet (freewares et sharewares) mais également sur les CD-ROM et DVD. Certains logiciels propriétaires sont porteurs de spywares.

Ces spywares ont pour objectif d’espionner le comportement de l’
internaute et de transmettre ensuite, à son insu, les informations
collectées aux créateurs et éditeurs de logiciels afin d’alimenter une
gigantesque base de données.

Face à la loi sur la confiance dans l’économie numérique (LEN) du 21 juin
2004 et à la loi Informatique et Libertés (LIL) du 6 janvier 1978 refondue
en juillet 2004, quels sont les enjeux juridiques liés à la prolifération de
tels logiciels espions ?

*L’absence de consentement de l’internaute « infesté » par un spyware !

Les créateurs des spywares ou les éditeurs déclarent que les spywares
sont légaux. Lorsqu’une personne décide de télécharger un logiciel
principal gratuit, la licence d’utilisation contient une indication sur la
présence d’un éventuel spyware. L’utilisateur installe donc le spyware
sur son ordinateur en toute connaissance de cause.

A priori ces spywares ne posent donc pas de problèmes juridiques : les
internautes y ont préalablement consenti.
Mais en réalité rares sont les internautes totalement au fait de la
présence des spywares sur leurs ordinateurs.
Le consentement éclairé nécessaire avant toute conclusion d’un contrat
(même à titre gratuit) et tout traitement automatisé d’informations à
caractère personnel peut être remis en cause : le plus souvent, ces
clauses sont écrites en tout petit et en anglais voire illisibles ou
absentes.

Le spyware n’est pas en soi illégal mais il le devient dès lors qu’il n’y a
pas eu de consentement exprès de l’utilisateur, comme le rappelle
régulièrement la Commission Nationale de l’Informatique et des Libertés.

De plus, la loi Informatique et Libertés instaure des obligations pour les
responsables des traitements automatisés d’informations à caractère
personnel et des droits pour les personnes fichées. L’article 226-16 du
Code pénal énonce que « Le fait, y compris par négligence, de procéder
ou de faire procéder à des traitements automatisés d'informations
nominatives sans qu'aient été respectées les formalités préalables à
leur mise en oeuvre prévues par la loi est puni de trois ans
d'emprisonnement et de 45 000 euros d'amende. » Le projet de loi
concernant la refonte de LIL prévoit que l’amende peut atteindre 300 000
euros (article 14).

Les responsables ont l’obligation d’informer préalablement les
personnes auprès desquelles sont recueillies ces informations
nominatives (article 27 de la loi du 6 janvier 1978 ; article 32 de la LIL
version 2004). Il doit par exemple les informer du caractère obligatoire
ou facultatif des informations demandées, de l’identité dudestinataire, de l’existence d’un droit d’accès et à rectification. La plupart
du temps, ces informations ne figurent nulle part lorsque la personne
télécharge en même temps un logiciel et un spyware. Tout manquement à
cette obligation constitue une infraction. Cette infraction est caractérisée
par le fait que l’internaute n’est pas au courant de l’existence sur son
ordinateur de ces petits programmes informatiques espions qui
enregistrent ses moindres faits et gestes sur son ordinateur et sur
Internet. Il n’a pas été informé par le responsable du traitement automatisé des informations à caractère personnel.

*La violation de la vie privée de l’internaute et la collecte illégale d’
informations à caractère personnel

Chacun a droit au respect de sa vie privée (article 9 du Code civil). Or, les
spywares installés sans le consentement des internautes violent sans
conteste leur vie privée en collectant des informations à caractère
personnel.

Les données à caractère personnel ainsi que leur traitement et collecte
sont définis dans la loi Informatique et Libertés. Les données personnelles
permettent d’identifier la  personne concernée (article 4 de la LIL de 1978,
article 2 de la LIL 2004). Elles peuvent concerner des informations
relatives à la vie privée de la personne.

Dans quel pays vit l’internaute ? Quels types d’achat effectue-t-il sur
Internet ? Quels sont les sites visités quotidiennement ? Combien de fois
lance-t-il un logiciel de peer-to-peer par jour ? Autant de questions que le
spyware installé sur un ordinateur est à même de répondre.
Des spywares ont d’ailleurs été détectés dans des logiciels d’échanges de
fichiers peer-to-peer tels que KaZaA. Ces logiciels de stockage et de
diffusion de musique contiennent un espiogiciel qui envoie la liste
complète de tous les fichiers MP3 stockés sur le disque dur de l’utilisateur
sans que celui-ci s’en rende compte. Les destinataires des données
peuvent ainsi constituer un fichier à des fins publicitaires sur les
habitudes de téléchargement, les centres d’intérêts, les achats effectués
sur la Toile et leur périodicité.

Ces données personnelles sont cédées à des régies publicitaires qui les
utilisent pour leur activité d’envoi de messages publicitaires sous forme
de pop-ups (pour plus d’informations, voir l’article sur La légalité des pop-
ups), pop-unders et emails (phénomène du spamming).
Il est bon de rappeler que la LEN condamne la prospection commerciale en l’absence de consentement préalable de l’internaute via les emails 
(article 22). Il s’agit de l’application du régime de l’opt-in. L’internaute doit avoir consenti préalablement à l’envoi de messages publicitaires. Or, dans le cas des spywares, les bases de données sont constituées à partir des
informations dont le traitement n’a pas été consenti par les personnes
concernées. Elles ne savent même pas que des informations les
concernant circulent sur Internet. 

Ces bases de données sont cédées à des entreprises qui envoient des messages publicitaires non autorisés. 

Les adresses électroniques des personnes n’ont pas été recueillies
directement par les entreprises. L’envoi de ces messages publicitaires
non sollicités via des emails peut donc poser des problèmes et être
sanctionné pour non respect du régime de l’opt-in.

Ces spywares collectent toutes sortes d’informations qui peuvent
dépasser la simple utilisation à des fins commerciales et publicitaires.
Certains spywares sont capables de connaître la configuration exacte de l’
ordinateur, le contenu du disque dur sur lequel se trouve les mots de
passe et le carnet d’adresse contenant les adresses mails de tiers. Ces
mots de passe et le carnet d’adresse peuvent ainsi être envoyés via
Internet au créateur du spyware sans que l’utilisateur ne s’en rende
compte.
Même si c’est l’utilisateur qui installe lui-même le programme espion, il ne
le fait pas en connaissance de cause ; le programme espion est introduit à
son insu dans son système informatique. Tout ceci constitue une véritable
violation de la vie privée. Cette intrusion dans le système d’autrui n’est
pas à négliger.
Il faut savoir que l’intrusion dans un système informatique contenant des
données personnelles est punie pénalement. La LEN prévoit un
renforcement des peines en la matière. En effet, l’article 323-1 du Code
pénal énonce que le "fait d'accéder ou de se maintenir, frauduleusement,
dans tout ou partie d'un système de traitement automatisé de données est
puni de 2 ans d'emprisonnement et 30 000 euros d'amende".
Si l’on considère que l’ordinateur d’un internaute contient des
informations personnelles qui lui sont propres mais aussi des informations
personnelles sur des tiers, l’article L321-1 du Code pénal pourra être
appliqué. L’internaute infesté pourrait très bien avoir créé un site Web qui
effectue un traitement automatisé d’informations personnelles. De même,
il ne faut pas oublier que de nombreux ordinateurs professionnels qui
effectuent notamment le traitement de données personnelles, peuvent
également être infestés par des spywares.

Les créateurs de spywares vont de plus en plus loin. La polémique autour
de « Did They read it ? » a fait couler beaucoup d’encre. Ce logiciel espion
a été mis en vente par la société Rampell Software. L’expéditeur d’un
email, abonné à ce logiciel espion, peut ainsi connaître le moment où l’
email a été lu, pendant combien de temps et dans quelle zone
géographique il a été ouvert, quelle est l’adresse IP du destinataire dudit
email, si ce dernier a été forwardé à un tiers.
Le profilage ne se limite donc plus au comportement des internautes sur
Internet mais il concerne désormais le simple lecteur d’un email.
Dans un communiqué du 22 juin 2004, la CNIL a énoncé que ce logiciel
espion était totalement illégal en France. Il s’agit, en effet, d’« une collecte
frauduleuse, déloyale ou illicite de données nominatives » (article 25 de la
LIL du 6 janvier 1978 ; article 6 nouveau de la LIL version 2004). Selon l’
article 226-18 du Code pénal, les utilisateurs de ce logiciel encourent une
peine de 5 ans d’emprisonnement et de 300 000 euros d’amende.

Les sanctions sont lourdes en cas de collecte déloyale d’informations à
caractère personnel car elles peuvent aller jusqu’à 1,5 millions d’euros d’
amendes pour les personnes morales.

Ce principe de loyauté est extrêmement important. C’est la raison pour
laquelle la LIL version 2004 indique explicitement qu’il s’agit d’une
condition de licéité des traitements de données à caractère personnel.
Par ailleurs, la CNIL émet régulièrement des recommandations qui vise à
limiter au maximum l’exploitation commerciale et publicitaire du profilage
sur Internet.

L’arsenal juridique français et surtout belge actuel n’ont pas de loi spécifique « anti-spyware » mais permet
toutefois de sanctionner les dérives de ces logiciels espions.

Télécharge ici un anti-spyware !

 

Les spywares prolifèrent. Il convient d’être vigilant notamment lorsque l’on télécharge un logiciel gratuit sur Internet. Par ailleurs, il faut savoir que ce n’est pas parce que l’on décide de désinstaller le logiciel téléchargé que
le spyware disparaîtra. Il est nécessaire de les détruire via des programmes anti-spywares.