Offrir un accès à l’internet dans une bibliothèque : conditions juridiques [outil]

Boîte à outils

Entre les missions des bibliothèques et les obligations légales, quelle est la frontière entre un service ouvert à tous, et le respect de la loi ? Comment interpréter les mesures préconisées ou imposées par le législateur ? Et les concilier avec la tradition d’un accès le plus large possible à l’information et à la connaissance ? Y a-t-il un espace d’interprétation propice à la sauvegarde des libertés ? Partageons-nous une posture professionnelle respectueuse du droit mais aussi des intérêts des usagers ?

1. Quelles obligations légales ?

a. Conserver les logs de connexion ?

Internet peut être libre et gratuit pour le public.

Les établissements ne sont pas tenus de recueillir l’identité des personnes à qui ils proposent un accès à l’internet. L’usager peut même utiliser un pseudo pour se connecter et avoir accès à ses espaces personnels. En revanche, on doit pouvoir identifier l’ordinateur à l’origine de l’usage illicite par une adresse IP fixe.

La seule obligation qui s’impose aux bibliothèques, est de remettre, lors d’une réquisition les logs de connexion [2] et toutes les informations qu’ils détiennent [3]. Les services chargés de l’enquête recouperont ces informations pour retrouver la personne à l’origine de l’infraction. L’antériorité exigible pour les données est d’un an.

b. Quelles informations peuvent être collectées ?

Conditions :

Cinq conditions [5] autorisent la collecte de données personnelles [4] (telles que le nom ou l’adresse d’une personne) :

• avec le consentement de la personne. Mais on ne peut pas refuser l’accès à internet aux personnes refusant de consentir [6].
• pour exécuter un éventuel contrat conclu avec la personne
• pour exécuter une mission de service public à laquelle participe l’organisation
• pour exécuter une obligation légale
  • en raison d’un « intérêt légitime ».

Intérêt légitime

Cet intérêt légitime n’autorise que les opérations effectivement utiles pour l’organisation, et dont l’utilité est plus importante que l’atteinte portée à la vie privée des personnes concernées.

S’agissant de l’exécution d’une mission de service public, la collecte de données personnelles doit être indispensable à cette exécution. Par exemple, recueillir l’identité d’une personne porte atteinte à sa vie privée. Mais n’est souvent d’aucune utilité pour les organisations qui fournissent un accès libre à Internet.

En effet, aucune loi n’impose aux fournisseurs d’accès à Internet de recueillir l’identité des personnes utilisant leur service[7]. Cela ne saurait donc justifier une telle collecte (ce n’est que dans des cas exceptionnels qu’on peut obliger un fournisseur de collecter l’identité des utilisateurs, lorsqu’un juge le lui ordonne précisément [8]).

De même, dans la mesure où les fournisseurs d’accès ne sont pas responsables des faits commis par les personnes utilisant l’accès [9], ils n’ont aucun intérêt à pouvoir identifier ces personnes. Ils n’ont donc aucun intérêt à collecter l’identité de tous les utilisateurs pour y parvenir.

Au contraire, dans les cas où, une  organisation souhaiterait ne fournir l’accès qu’à un groupe limité de personnes (celles qui payent, par exemple), l’organisation pourrait avoir un intérêt à obtenir l’identité des personnes. Mais elle devra alors se limiter à collecter les seules informations indispensables à cette fin.

Pour mettre en place une telle restriction, l’organisation doit toutefois pouvoir démontrer que l’objectif poursuivi (sécurité, facturation, etc.) ne peut pas être poursuivi au moyen d’une autre méthode.

Les organisations qui collectent ou traitent des données personnelles sans y être autorisées encourent une amende [10]. Enfin, les communications et données de trafic ne peuvent être traitées que pour des raisons de sécurité, sur l’ordre de la loi ou avec l’autorisation de l’utilisateur.

c. Quelles informations doit-on conserver ?

Droit français

La loi française prévoit que toute organisation fournissant un accès à Internet doit conserver pendant un an [11] les informations suivantes :

• l’identifiant du terminal des personnes utilisant le service (telle que l’adresse MAC de son terminal, utilisée pour lui fournir l’accès) ;
• un identifiant attribué à chaque personne et à sa connexion (telle que l’adresse IP attribuée à chaque terminal) ;
• les dates et heures de début et de fin de l’accès à Internet fourni à chaque personne ;
• les caractéristiques de la ligne attribuée à chaque personne [12].

La loi française sanctionne le non-respect de ces obligations d’une peine d’un an d’emprisonnement et d’une amende de 375 000 € [13]. Par ailleurs, les données conservées ne doivent en aucun cas concerner le contenu des informations reçues ou envoyées par les utilisateurs, et doivent se limiter au strict minimum de ce qui est requis [14], sans quoi il s’agirait d’une atteinte à la confidentialité des communications décrites ci-avant.

Enfin, dans les seuls cas où elle y est autorisée (dans les conditions exposées ci-avant), une organisation qui décide de recueillir de façon habituelle certaines informations doit conserver celles-ci pendant un an [15] :

• le nom et le pseudonyme de l’utilisateur ou utilisatrice;
• son adresse postale ou électronique;
• son numéro de téléphone ;
• le hash du mot de passe associé à la connexion;
• lorsque l’accès est payant, le type de paiement utilisé, la référence du paiement, le montant et la date et l’heure de transaction.

Cette obligation de conservation est soumise à la même peine que l’obligation générale.

Droit européen

La Cour de justice de l’Union européenne (UE) considère [16] que la Charte des droits fondamentaux de l’Union européenne interdit aux États d’adopter une loi qui :

• impose « une conservation généralisée et indifférenciée de l’ensemble des données […] de tous les abonnés et utilisateurs » ;
• « oblige les fournisseurs […] à conserver ces données de manière systématique et continue » ;
• « s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien […] avec des infractions pénales graves » ;
• « ne requiert aucune relation entre les données dont la conservation est prévue et une menace pour la sécurité publique ».

On peut considérer donc que l’obligation de conservation imposée aux fournisseurs français est contraire à la Charte de l’UE.

Cette Charte étant hiérarchiquement supérieure aux lois françaises, on ne peut obliger les hébergeurs français à conserver des données. Or, conserver des données personnelles sans justification est puni en droit européen [17].

En conséquence, tant pour respecter le droit que les personnes, nous recommandons aux organisations d’appliquer le droit européen. Cependant, une organisation peut avoir un besoin légitime de conserver certaines données pour des raisons techniques et de sécurité. Ainsi, pour la durée strictement nécessaire, elle peut conserver les données techniques (adresses MAC et IP, dates et heures de connexion) impérativement nécessaires.

d. Sécuriser les postes ?

La loi n’impose pas que l’on filtre les accès à l’internet des ordinateurs mis à la disposition du public [18]. Installer des filtres pour bloquer certains sites susceptibles d’être pénalement répréhensibles ne permettrait que de limiter sa responsabilité. C’est-à-dire seulement après avoir reçu une lettre recommandée enjoignant l’abonné de sécuriser son poste. Les organisations qui fournissent un accès à Internet de façon ouverte (par Wi-Fi, hot-spot, par câble ou sur postes fixes) sont tenus de respecter la neutralité du Net [19].
Ceci leur interdit de réaliser toute « restriction » quant aux «contenus consultés ou diffusés» par les utilisateurs. Par exception, la neutralité du Net permet le blocage de deux types de contenus :

• ceux qui mettent en danger la sécurité du service ou du terminal des personnes qui l’utilisent ;
• ceux dont la loi exige le blocage.

Une organisation qui ne respecterait pas la neutralité du Net (en bloquant un site n’entrant pas dans une des exceptions) encourrait une amende de 150 000 €. En effet, le fait de munir de filtres les ordinateurs proposés au public limite de manière arbitraire l’accès à l’internet, alors que cet accès constitue une liberté publique consacrée par le Conseil constitutionnel [20].

e. Blocage exigé par la loi

S’agissant du blocage, il ne peut résulter que d’une décision judiciaire ou administrative visant des contenus précis.
Aucune loi n’impose aux organisations de bloquer des contenus sans décision individualisée.
De plus, certaines lois qui limitent habituellement la circulation de l’information ne s’imposent pas à ces organisations.

1. la loi HADOPI exige de surveiller son accès à Internet pour éviter qu’il ne serve à commettre des actes de contrefaçon [21]. Or, cette loi ne s’impose qu’aux utilisateurs qui bénéficient de l’accès et non aux personnes qui le fournissent. En effet, en droit, « les personnes dont l’activité est d’offrir un accès [à Internet] ne sont pas soumises à […] une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites » [22].
2. constitue un délit le fait de mettre à disposition de personnes mineures des contenus « à caractère violent, incitant au terrorisme, pornographique ou de nature à porter gravement atteinte à la dignité humaine » [23]. Néanmoins, la loi prévoit aussi que la responsabilité des personnes qui fournissent un accès ne peut être engagée à raison des contenus qu’elles diffusent [24]. Elles ne sont donc pas concernées par ce délit et, ainsi, ne sont pas tenues de bloquer les contenus concernés.

À la place, ces organisations doivent informer leurs utilisateurs «de l’existence de moyens techniques permettant de restreindre l’accès » à certains sites (des logiciels de filtrage).
Elles doivent leur proposer un de ces moyens à utiliser [25], notamment pour protéger les mineurs.
De plus, lorsqu’une organisation met des postes fixes à disposition du public, son activité dépasse la simple fourniture d’accès à Internet. Nous lui conseillons donc d’y installer un filtre et/ou d’exiger la présence d’un adulte afin de protéger les mineurs.

f. Exception

La neutralité du Net ne s’impose qu’aux personnes qui offrent un accès à Internet « au public » (qui, en droit, sont alors qualifiées d’opérateurs [26]).

Ceci exclut les personnes qui n’offrent cet accès qu’à un « groupe d’utilisateurs prédéfini » [27]. Cette notion est encore floue, et on peut l’interpréter comme un groupe n’étant pas susceptible d’évoluer constamment et librement. Ainsi, par exemple, on considère que ne serait pas soumise à la neutralité du Net une entreprise qui ne fournirait un accès qu’à ses salariés (et pas aux autres personnes).

À l’inverse, on considère, par exemple, que doit respecter la neutralité du Net une bibliothèque qui, bien que ne fournissant un accès qu’aux personnes inscrites ou disposant d’une carte, permettrait à toute personne de s’inscrire ou d’obtenir une telle carte. Dans ce dernier cas, le fait que la carte soit payante ou soumise à une condition d’âge ne nous semble pas constituer un critère suffisamment discriminant pour qu’on puisse parler d’un « groupe d’utilisateurs prédéfini » et échapper à la neutralité du Net.

g. Remettre des informations nominatives ?

C’est une obligation qui ne s’impose, au titre de la loi Hadopi, qu’aux organisations qui opèrent en tant que FAI (les services informatiques des universités, par exemple).
Il incombe, en effet, aux FAI de fournir aux personnes chargées de l’enquête les informations détaillées dans le décret du 5 mars 2010, dont certaines sont nominatives [28].

Peu importe que la loi impose ou non aux organisations de respecter la neutralité du Net, celles-ci doivent systématiquement respecter la confidentialité des communications de leurs utilisateurs.

La loi interdit toute mesure « d’interception ou de surveillance » des communications électroniques ainsi que des données de trafic nécessaires à la diffusion de ces communications [29].

Cette interdiction connaît les mêmes exceptions que la neutralité du Net (la sécurité ou l’obligation de la loi) ainsi qu’une 3^e : le consentement des utilisateurs (néanmoins, il est peu probable que ceux-ci acceptent d’être surveillés, d’autant que l’accès à Internet ne peut leur être dénié s’ils s’y refusent [30]).

2. Le poids de chartes et des règlements

Chartes et règlements intérieurs permettent d’informer le public des bibliothèques sur les usages interdits, sur la surveillance dont ils peuvent faire l’objet et sur l’existence éventuelle de filtres.

D’autres documents destinés aux bibliothécaires leur rappellent le contrôle qu’il convient d’exercer et leur obligation de mettre fin à tout usage de l’internet qui serait manifestement illicite (contrefaçon, cyber pédopornographie, activités terroristes, etc.). L’enquête permettra d’évaluer, en fonction d’un contexte, la diligence du personnel.

3. Que disent les textes ?

a. La loi anti-terroriste

L’obligation de conserver pendant un an les données de connexion, est imposée aux fournisseurs d’accès Internet (FAI) par la loi anti-terroriste [31] du 23 janvier 2006. Elleest étendue à tous ceux qui offrent un accès à l’internet à leur public.

Comme l’indique le Forum des droits sur l’internet [32], la conservation des logs peut se faire de trois manières différentes :

• en utilisant localement des unités de stockage dédiées associées à un routeur mis en place pour assurer la répartition du trafic interne entre les différents postes ;
• en confiant cette obligation au FAI auprès duquel on a acheté des abonnements à plusieurs adresses IP publiques correspondant au nombre de postes ;
• en confiant l’enregistrement à un tiers prestataire de services.

b. La loi Hadopi

La loi dite Hadopi [33] dissocie les obligations des FAI de celles des titulaires d’un abonnement à l’internet. La responsabilité d’une bibliothèque titulaire de plusieurs abonnements auprès d’un FAI n’est engagée que si les postes n’ont pas été sécurisés, après en avoir reçu l’injonction écrite de la Haute Autorité pour la diffusion des œuvres et la protection des droits d’auteur sur Internet (Hadopi). [34]

c. Qu’en conclure ?

Ni la loi anti-terroriste, ni la loi Hadopi n’obligent ces établissements à identifier les utilisateurs des ordinateurs mis à leur disposition, ni à conserver des informations nominatives pour les remettre lors d’une enquête , ni même à filtrer à titre préventif les accès à l’internet.

Le respect des usages traditionnellement admis dans les bibliothèques reste compatible avec les obligations juridiques qui leur sont imposées, dès lors que les professionnels appliquent la loi, toute la loi, rien que la loi.

4. Recommandations, déclarations, articles

a. sources

• Accès internet en bibliothèque : ce qu’exige vraiment la loi. https://scinfolex.com/2010/03/26/acces-internet-en-bibliotheque-ce-quexige-vraiment-la-loi/ mis à jour 2023
• Offrir un accès public à l’internet : Des responsabilités aux multiples implications. Déclaration de l’IABD, 10 mars 2009. Sur le site de l’IABD.
• Non au portail blanc. Déclaration de l’IABD du 6 mars 2009. Sur le site de l’IABD.
• Internet en libre accès : obligations en matière de vie privée et de liberté de communication. NetCommons.eu, 29 janvier 2018.
• Quelques pistes pour se conformer au RGPD. Sur le site de Biblio Numericus, 23 mais 2018.

---

b. notes

[2] Logs de connexion : Les données relatives au trafic s’entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi.  Cette obligation s’impose à toutes « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit », une définition qui concerne les cybercafés mais également les bibliothèques. Il incombe aux opérateurs de communications électroniques de conserver pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :

• a) Les informations permettant d’identifier l’utilisateur ; [c’est-à-dire celles qui sont enregistrées par lors des communications]
• b) Les données relatives aux équipements terminaux de communication utilisés ;
• c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
• d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
• e) Les données permettant d’identifier le ou les destinataires de la communication.

[3] Les données nominatives seront remises uniquement si celles-ci sont déjà recueillies habituellement.

[4] Une « donnée personnelle » est toute information qui porte sur un individu et qui peut être associée à cet individu, de façon directe ou indirecte.

[5] Les conditions de licéité d’un traitement de données personnelles sont listées à l’article 7 de la loi du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés.

[6] La CNIL considère que « le refus de consentir ne doit pas empêcher la personne d’accéder au service ».

[7] La CNIL a pu rappeler que « le cybercafé en question n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès Wi-Fi ouvert) » (voir l’article « Conservation des données de trafic : hot-spots wi-fi, cybercafés, employeurs, quelles obligations ? » du 28 septembre 2010 sur cnil.fr).

[8] Par exemple, en application de l’article L. 336-2 du code de propriété intellectuelle, un juge peut ordonner à un fournisseur d’accès à Internet de faire cesser une infraction commise grâce à l’accès qu’il fournit. Le fournisseur peut alors choisir de mettre fin à cette atteinte en sécurisant, par exemple, son réseau à l’aide d’un mot de passe confié à certaines utilisatrices et utilisateurs, une telle mesure ayant été reconnue dans son principe comme conforme au droit européen par la Cour de justice de l’Union européenne (CJUE, McFadden, 15 septembre 2016, affaire C-484/14)

[9] Le régime de responsabilité limité des fournisseurs d’accès à Internet est prévu à l’article L. 32-3-3 du CPCE. Il prévoit qu’un fournisseur n’est responsable des contenus qu’il diffuse que si il est « à l’origine de la demande de transmission litigieuse », « sélectionne le destinataire de la transmission » ou « sélectionne ou modifie les contenus faisant l’objet de la transmission ».

[10] À partir du 25 mai 2018, les traitements illicites pourront être sanctionnés par une amende maximale de 20 000 000 € ou 4% du chiffre d’affaire mondial, en application de l’article 83 du règlement général sur la protection des données.

[11] L’obligation imposée aux fournisseurs d’accès à Internet de conserver des données est prévue par l’article L. 34-1 du CPCE (détaillé par le décret n° 2011-219 du 25 février 2011). Ces deux textes ont des conséquences très proches pour les organisations visées par la présente note, et sont donc ici présentées conjointement. Le premier de ces deux textes concerne tout type de communications électroniques, et non le seul accès à Internet : il vise ainsi des données qui concernent d’autres types de communications (des communications téléphoniques), notamment des données liées à des « services complémentaires » et à des « destinataires » qui ne concerne pas l’accès à Internet
et ne doivent pas à être prises en compte par les organisations visées par cette note.

[12] L’obligation de conserver « les caractéristiques de la ligne attribuée à l’utilisateur » ne devrait concerner que les organisations qui fournissent un accès à Internet par câble et qui ont attribué un identifiant unique à chacune des prises qu’elles mettent à disposition du public, ce qui n’est généralement fait que pour répondre à des impératifs de sécurité particuliers.

[13] L’article L39-3 du CPCE et l’article 131-38 du code pénal fixent la sanction attachée à la conservation des données, qui doit être portée au quintuple s’agissant des personnes morales.

[14] La CNIL rappelle l’obligation de ne conserver que les données strictement requises, regrettant que de nombreuses personnes en conservent plus que nécessaire (voir l’article « Internet et wi-fi en libre accès : bilan des contrôles de la CNIL » du 22 décembre 2014 sur cnil.fr)

[15] L’obligation de conserver les données spontanément collectées est prévue à l’article 6, paragraphes II et VI, de la loi du 21 juin 2004

[16] Arrêt Tele2 Sverige (C-203/15) de la Cour de justice de l’Union européenne du 21 décembre 2016, dont sont ici cités les paragraphes 97, 105, 106 et 108.

[17] À partir du 25 mai 2018, les traitements illicites pourront être sanctionnés par une amende maximale de 20 000 000 € ou 4% du chiffre d’affaire mondial, en application de l’article 83 du règlement général sur la protection des données.

[18] Selon l’article 25 de la loi sur le droit d’auteur et les droits voisins dans la société de l’information (Dadvsi), le titulaire d’un accès à des services en ligne de communication au public en ligne doit veiller à ce que cet accès ne soit pas utilisé à des fins de contrefaçon. Il doit mettre en œuvre les moyens de sécurisation qui lui sont proposés par le fournisseur de cet accès en application de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. N’étant pas assortie de sanction, cette disposition ne peut pas être mise en œuvre.

[19] Le principe de la neutralité du Net est défini à l’article 3 du règlement 2015/2120 de l’Union européenne.

[20] Décision n° 2009-590 DC du 22 octobre 2009. Loi relative à la protection pénale de la propriété littéraire et artistique sur internet. Sur le site du Conseil constitutionnel.

[21] Le régime de responsabilisation prévue par la loi HADOPI est prévu à l’article L. 336-3 du code de propriété intellectuelle.

[22] L’absence d’obligation des fournisseurs d’accès à Internet de surveiller les contenus est garantie à l’article 6, I, point 7, de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

[23] Le délit de mise à disposition de mineurs de certains contenus est défini à l’article 227-24 du code pénal.

[24] Le régime de responsabilité limité des fournisseurs d’accès à Internet est prévu à l’article L. 32-3-3 du CPCE. Il prévoit qu’un fournisseur n’est responsable des contenus qu’il diffuse que s’il est « à l’origine de la demande de transmission litigieuse », « sélectionne le destinataire de la transmission » ou « sélectionne ou modifie les contenus faisant l’objet de la transmission ».

[25] L’obligation de proposer des filtres aux utilisateurs est prévue à l’article 6, I, point 1, de la loi du 21 juin 2004

[26] En application de l’article L. 32 du code des postes et des communications électroniques, est opérateur « toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques »

[27] La notion de groupe d’utilisateurs prédéfini est détaillée aux points 10 à 12 des lignes directrices du BEREC quant à l’application de la neutralité du Net, traduites par l’ARCEP.

[28] Loi Hadopi. Décret du 5 mars 2010 Les données conservées par les agents assermentés travaillant pour les ayants droit : date et heure des faits ; adresse IP des abonnés concernés ; protocole pair à pair utilisé ; pseudonyme utilisé par l’abonné ; informations relatives aux œuvres ou objets protégés concernés par les faits ; le nom du fichier présent sur le poste de l’abonné (le cas échéant) ; le nom de son fournisseur d’accès à internet. Les données à fournir à la Hadopi par les FAI : noms et prénoms de l’abonné, son adresse postale et son adresse électronique ; ses coordonnées téléphoniques et son adresse d’installation téléphonique.

[29] La confidentialité des communications électroniques est garantie à l’article 5 de la directive 2002/58 de l’Union
européenne, en partie transposé aux articles L. 32-3 et L. 34-1 du CPCE.

[30] La CNIL considère que « le refus de consentir ne doit pas empêcher la personne d’accéder au service ».

[31] Loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers. Sur le site Légifrance.

[32] Les lieux d’accès public à l’internet. Recommandation du Forum des droits sur l’internet, 28 décembre 2007. Sur le site du Forum des droits sur l’internet.

[33] Loi n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet. Sur le site Légifrance.

[34] La bibliothèque titulaire d’un abonnement encourt des sanctions pénales : une contravention de 5ème catégorie (amende de 1500€), une coupure de l’accès à Internet d’un mois et une obligation de mettre en œuvre un « moyen de sécurisation » labellisé par la Hadopi.