Les spywares face à la loi Informatique et Libertés

Les spywares permettent un véritable suivi des comportements de chaque utilisateur de l´Internet. Il s´agit de petits logiciels qui emploient la connexion Internet de l´internaute - bien évidemment sans son consentement préalable - dans le dessein de collecter et de transmettre toute information, même non nominative. Ces "espiogiciels", petits morceaux de code parasite appelés "routines", se trouvent dans le code principal d´un programme qui, lors de son installation, permet le placement du spyware dans le disque dur de l´utilisateur.

Ces méthodes sont pratiquées surtout par les fournisseurs d´accès et même par les auteurs et les éditeurs de freewares et sharewares. Ces derniers ont recours à l´utilisation des logiciels espions pour financer leur travail d´élaboration et de programmation de logiciels liés à la navigation sur l´Internet. En effet, ces données sont cédées a des régies publicitaires, assurant ainsi la rémunération des éditeurs et auteurs de logiciels, qui les utiliseront pour leur activité d´envoi de messages publicitaires ciblés et non sollicités (pratique connue sous le nom de "spamming").

La légalité des spywares au regard du droit français

Par exemple, un célèbre logiciel de stockage et de diffusion de musique cachait un spyware permettant d´envoyer la liste complète de tous les fichiers MP3 stockés sur le disque dur de l´utilisateur sans que celui-ci ne s´en rende compte. Les destinataires de ces données pouvaient ainsi constituer un fichier (à des fins publicitaires) sur les habitudes de téléchargement, les modes de consommation, les centres d´intérêt et la périodicité des achats des internautes.On peut citer également le cas d´un logiciel de messagerie, comportant une "routine" chargée de faire une copie de chacun des e-mails échangés pour les envoyer à une adresse prédéterminée et sans laisser de traces dans la boite "éléments envoyés" de l´e-mail dupliqué. Certes, rares sont les traitements créés volontairement pour nuire aux personnes, mais qui peut certifier que le fichier créé aujourd´hui ne sera pas demain détourné pour des objectifs moins avouables ? Il n´en reste pas moins que l´installation d´un tel logiciel dans l´ordinateur d´un internaute, sans son consentement, reste une atteinte à la vie privée au sens de la loi de 1978.

Des sanctions jusqu'à 1,5 million d'euros

Le problème de la légalité de l´utilisation de ces logiciels se pose lorsqu´ils sont installés à l´insu de l´utilisateur et qu´ils recueillent des informations personnelles sans son accord. La loi "Informatique et Liberté" du 6 janvier 1978 instaure des droits pour les personnes fichées et des obligations pour les responsables des traitements automatisés. Ainsi, elle impose aux responsables de ces fichiers d´informer "les personnes auprès desquelles sont recueillies ces informations nominatives" (article 27). Notamment, il doit les informer du caractère obligatoire ou facultatif des informations demandées, de l´identité du destinataire et de l´existence d´un droit d´accès et de rectification.Tout manquement à cette obligation d´information préalable est considéré comme une contravention de 5ème classe (article 1er et 2ème du décret du 23 décembre 1981). Cette infraction est constituée dès lors que quiconque aura recueilli ou fait recueillir des informations nominatives, sans avoir au préalable informé la personne interrogée. Le consentement des personnes concernées est omniprésent dans la loi et constitue la base quasi exclusive de la légitimité des traitements sur l´Internet. Il est par ailleurs de plus en plus demandé aux éditeurs de logiciels, quelque soit leur pays d´établissement, de prévenir les utilisateurs que leurs programmes intègrent un spyware et qu´ils révèlent quelles sont les informations privées qui sont collectées.

De plus, l´article 25 de la loi de 1978 dispose que "la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite". Les sanctions prévues sont lourdes puisque le montant de l´amende peut aller jusqu´à 1,5 million d´euros pour les personnes morales. Ce principe de loyauté de la collecte répond aux recommandations émises par la CNIL (Commission nationale de l´informatique et des libertés) visant à limiter au maximum l´exploitation commerciale des "traçages". Les renseignements demandés doivent être limités à la finalité du traitement.

Détecter et éliminer les spywares

Le premier réflexe des internautes est de procéder à la désinstallation des logiciels responsables de la présence des spywares. Mais il s´avère pourtant qu´il est toujours nécessaire de désinstaller de la même manière, manuellement, ces logiciels espions. Une autre possibilité est offerte aux internautes, celle de télécharger un logiciel spécifique programmé pour détecter les spywares et les éliminer : il s´agit de AD-aware v.4.5, téléchargeable sur www.lavasoft.de. Mais l´expérience montre que cette action a pour effet de gêner le bon fonctionnement du freeware. Certains préconisent l´utilisation de plusieurs terminaux pour limiter cette traçabilité (un ordinateur pour consulter sa messagerie, un autre pour télécharger certains fichiers ou commander un produit ou un service).Il faut donc être réaliste. L´information de tous les internautes sur les techniques de traçage existantes et sur la législation en vigueur est difficile à réaliser. Certes, des traces sont laissées à chacun de nos passages sur l´Internet, mais dès que l´on est conscient de cela, il convient simplement de faire preuve de vigilance en ne donnant pas d´information confidentielle sans connaître précisément les intentions des responsables des sites web.