Réseaux sociaux : quels risques pour les internautes ?

Facebook, Myspace, et bientôt Townsquare, les sites de socialisation attirent de plus en plus de membres,
toutes tranches d'âge et toutes nationalités confondues. Néanmoins, les internautes n'ont pas toujours
conscience des risques encourus en éparpillant des informations personnelles sur ces sites. Lepoint.fr a
interrogé Olivier Proust, avocat au barreau de Paris.

Lepoint.fr : En quoi les sites dits "de socialisation" portent-ils atteinte à la vie privée des
internautes ?

Olivier Proust : Tout d'abord, en invitant les internautes à créer un espace personnel sur lequel ils peuvent
diffuser leurs nom, prénom, adresse, photo, etc. Souvent, les internautes n'ont pas conscience qu'il s'agit
d'informations très personnelles (photos de famille, contacts personnels ou professionnels, etc.) voire
sensibles (opinions politiques ou religieuses, préférences sexuelles, etc.). Toutes ces informations
constituent des données à caractère personnel qui font partie de la sphère privée de chaque individu et qui
sont à ce titre protégées juridiquement. En les dévoilant sur les sites de socialisation, les internautes
diminuent leur protection au titre de la vie privée, qui devient en quelque sort "publique". Ils peuvent en
revanche agir contre le site si celui-ci fait une utilisation non autorisée de leurs données. Au Canada, un
groupe d'avocats et d'étudiants en droit, le Canadian Internet Policy and Public Internet Clinic (CIPPIC), a
déposé plainte contre Facebook auprès du Commissaire à la protection de la vie privée. Selon lui, Facebook
violerait 22 dispositions de la loi canadienne de protection des données personnelles (PIPEDA Act),
notamment en raison de la communication des données personnelles à des professionnels du marketing
sans le consentement des utilisateurs.

L.P : La diffusion de données personnelles sur les sites de socialisation accroît-elle les risques de
spam ?

O.P : L'un des principaux risques engendrés par la diffusion de données personnelles sur les sites de
socialisation est que les internautes deviennent plus facilement la cible des entreprises de marketing et des
publicitaires. En effet, les professionnels de marketing peuvent recueillir auprès de ces sites de précieuses
informations sur les habitudes de vie, les goûts ou les préférences de millions d'internautes et ainsi mieux
cibler leurs opérations de marketing en fonction du profil des internautes. Dans son rapport d'activité 2008, la
Commission nationale de l'informatique et des libertés (Cnil) met en garde les internautes : "L'internaute
rend sa vie privée visible par chacun sur la toile et permet aux sites de se constituer de formidables mines
d'informations susceptibles ainsi de multiples exploitations commerciales." En novembre 2007, Facebook
avait d'ailleurs annoncé l'ouverture aux annonceurs de l'ensemble des profils de ses membres.

"La cybercriminalité existe partout sur Internet"

L.P : Des mesures ont-elles été prises pour mieux protéger les données personnelles des internautes
?

O.P : En France, la Cnil a entamé un dialogue avec les principaux acteurs concernés afin de trouver des
solutions permettant de mieux protéger les données personnelles des internautes. La Cnil s'intéresse
particulièrement aux questions d'information des utilisateurs, de durée de conservation des données
collectées et de mise en oeuvre effective des droits d'accès et de rectification des données. Au niveau
européen, le groupe de l'article 29 (organe regroupant les autorités de protection des données personnelles
des 27 pays membres de l'UE) examine de près l'exploitation des données à caractère personnel sur
Internet. Après un premier avis rendu le 4 avril 2008 sur la protection des données personnelles applicable
aux moteurs de recherche, le groupe 29 planche sur un nouvel avis relatif aux sites de socialisation, lequel
devrait voir le jour à l'automne prochain.

L.P : Les réseaux sociaux sont-ils un vecteur de cybercriminalité ?

O.P : La cybercriminalité existe partout sur Internet. Néanmoins, les sites de socialisation semblent propices
à certains types de cybercrime, comme l'usurpation d'identité. Il est en effet très facile de créer une fausse
identité à partir d'un nom, d'un e-mail et d'une photo. Rien ne prouve que la personne qui se cache derrière

1
cette identité virtuelle est bien celle qu'elle prétend être. En 2006, une femme a ainsi été condamnée à plus
de 10.000 euros pour avoir usurpé l'identité de sa collègue de bureau sur le site de rencontre Meetic. Le
problème de l'usurpation d'identité représente un danger en particulier pour les enfants qui s'initient de plus
en plus tôt aux pratiques du chat, aux forums, et aux blogs, mais n'ont pas forcément le recul nécessaire ou
la maturité leur permettant de déceler certains dangers. Ainsi, aux États-Unis, une mère de famille qui s'était
fait passer pour un jeune garçon de 16 ans a été inculpée après le suicide d'une adolescente avec laquelle
elle dialoguait sur Myspace.

L.P : Hormis les risques provenant du site lui-même, quels autres dangers guettent l'internaute ?

O.P : Les nombreuses applications offertes sur les sites de socialisation permettent aux internautes de
diffuser, d'échanger ou de copier toutes sortes de contenus multimédias (musique, films, textes, etc.), ce qui
peut constituer un acte de contrefaçon lorsque les oeuvres sont protégées par le droit d'auteur. Un autre
exemple est la diffusion de photos sur son profil. Les internautes ignorent souvent que la simple diffusion de
l'image d'un ami sans son consentement peut porter atteinte à l'image de cette personne. Dans ce contexte,
l'utilisation des sites de socialisation doit s'entourer de précautions, afin de se prémunir soit contre des
atteintes portées à sa vie privée et à son intimité, soit contre des agissements illicites qui peuvent engager la
responsabilité civile ou pénale de leurs auteurs.

2
 Les risques et les bonnes attitudes pour se
protéger sur les réseaux sociaux

Dans le cadre du petit déjeuner thématique & formation sur les opportunités et les dangers des réseaux
sociaux pour les entreprises organisé par IE Love PME et NANOJV, Dominique Bourra CEO de NANOJV
a rencontré Michel Lanaspèze Directeur Marketing et Communication pour l'Europe du Sud de Sophos.

Dominique Bourra : Les réseaux sociaux sont en plein essor et pénètrent au coeur des entreprises,
s’agit-il d’un nouveau danger pour les PMEs ?
Michel Lanaspèze : Il y a un double danger. D’un côté les cybercriminels s’attaquent avec goinfrerie à ce
nouveau media et de l’autre les internautes ne sont pas conscients des dangers encourus puisque par
définition ils naviguent au sein de réseaux d’amis.

DB : Est-ce que la solution est d’interdire l’usage des réseaux sociaux dans les entreprises ?
ML : Non. certainement pas. On peut ainsi établir un parallèle avec la messagerie électronique il y a quelques
années. Fallait-il cesser d’utiliser les messageries électroniques sous prétexte que 95 % des messages étaient
du spam: non évidemment. Impensable… De la même façon, l’utilité des réseaux sociaux est trop grande pour
que l’on puisse envisager de s’en passer. C’est une richesse pour les entreprises qui trouvent là de nouveaux
moyens de communications avec leurs clients, avec les utilisateurs, et particulièrement avec les nouvelles
générations.

DB : Tout le monde s’accorde sur les bienfaits des réseaux sociaux, mais les chefs d’entreprises sont-
ils suffisamment conscients et informés des risques ?
ML : Malheureusement non. Ils sont bien sûr conscients qu’il existe des risques sur internet mais leur niveau
de connaissance de ces risques reste généralement assez diffus, à fortiori en ce qui concerne les risques
spécifiques des réseaux sociaux.

DB : Les PMEs sont donc plus vulnérables que les grands groupes face aux réseaux sociaux ?
ML : En matière de risque informatique en général. Certaines PMEs sont certes extrêmement pointues sur ce
sujet. Mais dans leur grande majorité elles sont entièrement concentrées sur le développement de leur activité
et disposent de peu de temps et peu de ressources pour la sécurité. Ainsi se contentent-elles en général
d’assurer une sécurité de base mais sans trop explorer au delà, ce qu’elles pourraient faire pour se protéger
efficacement.
DB : Est ce que la mauvaise utilisation des réseaux sociaux peut menacer l’existence même d’une
entreprise ?
ML : Oui par exemple dans le cas où, par inadvertance, un employé communique des informations critiques
pour l’entreprise sur un réseau social ou encore en cas de divulgation de fichiers clients contenant des
informations bancaires, suite à une infection consécutive à l’utilisation insécurisée de réseaux sociaux. On peut
imaginer dans ces cas que des procès mettent en péril la viabilité de l’entreprise.

DB : De nombreuses PMEs coopèrent étroitement avec des grands groupes dans le cadre de sous-
traitances et de prestations diverses. Est ce que les PMEs par leur vulnérabilités spécifiques à la
cybercriminalité constituent potentiellement un talon d’achille pour les grands groupes ?
ML : Oui et non, car en général les grands groupes encouragent et aident leurs réseaux de partenaires à bien
se protéger eux-mêmes.

3
DB : Dans tous les cas ?
ML : C’est là ou l’on peut se poser la question effectivement. C’est à dire que par le jeu de “sous-traitants de
sous-traitants”, on peut se retrouver dans des situations un peu plus dangereuses.

DB : Qu’est ce qui fait qu’aujourd’hui des patrons de PMEs ne s’équipent pas comme ils le devraient en
matière de protection contre les mauvais usages des réseaux sociaux ?
ML : Je pense que c’est d’abord une question de prise de conscience , une question de temps disponible…

DB : Ce n’est pas une question de coût ?

ML : Non, ce n’est pas tellement une question de coût …

DB : Combien coute une solution complète de sécurisation ?

ML : Cela dépend bien sûr du nombre d’utilisateurs concernés, mais on va dire que pour une entreprise de 10
personnes, se protéger complètement au niveau du poste de travail, y compris en prenant en compte des
besoins tels que le chiffrement des informations sensibles, coûte moins de 50 € (cinquante euros) par
utilisateurs la première année. Ce n’est pas considérable comme vous le constatez. En fait, ce qui va plutôt
freiner les gens, c’est la peur de la complexité, qui est de moins en moins fondée. A cela s’ajoute en période de
crise la volonté systématique d’économiser, alors que cela coûtera à peine plus d’opter sur une protection
complète.

DB : Vous participez aux côtés de Me Diane Mullenex et d’Alban Ondrejeck, spécialiste Sécurité de
l’Information pour Orange Business Services, à notre petit déjeuner-formation du 31 mars prochain au
Procope à 09H00 (pour s’inscrire cliquer ici). Chaque participant pourra-t-il ressortir avec une idée très
claire des risques et des solutions éventuelles ?
ML : Oui, nos exposés permettront aux responsables présents de se faire une idée des grandes catégories de
risques et des bonnes attitudes à adopter pour se protéger.

DB : Vous remettrez personnellement aux participants quelques documents, dont l’étude récente éditée
par Sophos.
ML : Oui, dans notre rapport 2010 sur les menaces de la sécurité, nous avons couvert de manière assez
étendue les nouveaux problèmes de sécurité liés aux réseaux sociaux. Nous remettrons également aux
participants un dictionnaire des menaces ainsi que tout un ensemble de petits documents très utiles concernant
les bonnes pratiques et le bon usage des réseaux sociaux.

Sources:
(*) Michel Lanaspèze est Directeur Marketing et Communication pour l’Europe du Sud de Sophos,
premier éditeur d’origine européenne de solutions de sécurité pour les réseaux d’entreprise. Il possède quinze
ans d’expérience dans le domaine de la sécurité informatique, en tant que Chef de Produits puis Directeur
Marketing au sein du Groupe Bull, d’Evidian, de Netcelo, et de Sophos depuis 2002. Auparavant, il exerçait des
responsabilités de Chef de Projets pour le développement de solutions d’administration de réseaux pour les
sociétés Sligos puis SITA/Equant. Michel Lanaspèze est diplômé de L’Ecole Nationale Supérieure des
Télécommunications de Paris et titulaire d’un MBA de l’INSEAD.
(**) Sophos société britannique basée près d’Oxford est l’un des plus grands éditeurs mondiaux de
solutions de sécurité informatique et de protection de données. Ses produits réputés pour leur fiabilité et
leur simplicité d’utilisation équipent plus de 100 millions d’utilisateurs dans 150 pays. En 2009 Sophos figurait
parmi les leaders mondiaux dans le quadrant magique du Gartner Group sur la Protection des Systèmes
(Endpoint Protection) et dans celui sur la Protection des Données Mobiles (Mobile Data Protection).

4
 La protection de l'enfant sur internet
L’association e-Enfance, qui agit pour que les enfants puissent profiter du Net en sécurité, vous
propose quelques repères et bonnes pratiques indispensables pour que vos enfants et ados surfent
intelligemment.

Quels risques pour vos enfants ?

Confronté à des contenus violents, images et propos traumatisants, pornographiques, voire
pédopornographiques sur le Net, soit en cherchant un site sur un moteur de recherche, soit en cliquant sur un
lien, soit en téléchargeant illégalement films et musiques.
La divulgation de données personnelles : Il faut bien comprendre que les données personnelles ont acquis
une valeur marchande sur le Net et qu’elles risquent de tomber entre les mains de personnes
malintentionnées. Votre enfant doit acquérir le réflexe de ne jamais divulguer ses informations personnelles.
La manipulation : Internet est une mine d’informations, vraies ou fausses… N’importe qui peut facilement
diffuser ses théories personnelles : désinformation, extrémisme, apologie de pratiques dangereuses (anorexie,
drogue, suicide..). Il est important d’apprendre à vos enfants à développer très tôt un esprit critique et de
prendre l’habitude de douter et de vérifier la crédibilité des informations. Ce n’est pas « parce que c’est écrit sur
Internet que c’est vrai ».
Les mauvaises rencontres : les lieux de discussion dont raffolent vos enfants (chats, forums, messageries
instantanées) sont aussi des repères pour les individus (majeurs ou mineurs) qui cherchent à rentrer en contact
avec des proies faciles. Ces inconnus en profitent pour établir rapidement une relation de confiance avec des
jeunes qui manquent de jugement et d’expérience et ils séduisent peu à peu leurs victimes en leur manifestant
beaucoup d’affection et de gentillesse par écrit.
L’addiction aux écrans : Bien des parents s’aperçoivent que leurs enfants passent des heures à
communiquer avec leurs amis par messagerie instantanée ou à jouer à des jeux vidéos ou à parler à des
inconnus via les chats. Il existe un risque pour les enfants et adolescents d’y consacrer trop de temps et de
devenir dépendants de l’écran comme d’une drogue.

Comment déjouer les pièges du Net ?

Si votre enfant tombe sur une image ou un message choquants, apprenez-lui à quitter le site et à venir vous
en parler (ou à un autre adulte). Expliquez-lui que les images ne sont pas toujours le reflet d’une saine
réalité.
Prévenez-le que non seulement le téléchargement illégal est interdit pour préserver les droits d’auteur
mais aussi car il a de fortes chances de tomber sur un film pornographique en voulant télécharger illégalement
un fichier qui porte le nom de son dessin animé ou de son film préféré.
Conseillez à votre enfant de ne jamais donner son nom, son adresse, son numéro de téléphone ni son
mot de passe, et à toujours utiliser un pseudo.
Apprenez-lui à préserver son image : ne pas envoyer de photographie, de vidéo à n’importe qui, et encore
moins se déshabiller devant une webcam.
Sur son blog, votre enfant doit être prudent : le contenu ou les photos qu’il y met peuvent être utilisés à son
insu par des personnes malintentionnées. Il ne doit pas non plus se servir de son blog, ou plus globalement
d’Internet, pour répandre des rumeurs, harceler ou menacer les autres. Attention à la diffamation et au cyber-
chantage entre jeunes qui se développent de plus en plus.
Forgez son esprit critique : tout n’est pas vrai sur Internet. S’il n’est pas sûr d’une information, qu’il prenne
l’habitude d’en parler avec un adulte et de vérifier auprès d’autres sources d’information fiables.
La personne avec laquelle votre enfant chate régulièrement sur une messagerie instantanée peut-être un
inconnu qui cherche à le piéger. Insistez sur le fait qu’il ne sait jamais vraiment avec qui il dialogue via les chats
ou sms.
Si votre enfant accepte malgré tout un rendez-vous via Internet ou sms, que ce soit toujours dans un lieu
public et qu’il soit accompagné d’amis ou d’un adulte de confiance.
Exigez qu’il vous prévienne avant tout paiement ou achat en ligne. Les enfants sont de plus en plus sollicités

5
par des sites de jeux qui les fidélisent grâce aux premières parties payantes pour passer ensuite à un mode
payant.
Déterminez avec votre enfant la plage horaire pendant laquelle il peut être sur l’ordinateur ou son
téléphone portable.
Aidez-vous du contrôle parental qui est un outil nécessaire, même si pas suffisant, pour filtrer les contenus
indésirables pour les mineurs.

Qu’est-ce que le contrôle parental ?

La meilleure sécurité sur Internet pour vos enfants réside dans le dialogue et l’accompagnement avec vous,
ses parents. Aucun logiciel de contrôle parental n’assurera une sécurité totale, il doit seulement être considéré
comme un outil de protection, au même titre qu’un anti-virus.

Tous les Fournisseurs d’accès à Internet (Orange, Neuf Cegetel, Free, Alice, Numéricable, Club Internet, Télé
2, Darty, SFR) proposent un logiciel de contrôle parental gratuit à leurs abonnés. Il fonctionne généralement à
l’aide de 2 profils :
« enfant » (-10 ans), votre enfant navigue dans un univers fermé de sites prédéfinis correspondant aux centres
d’intérêt des enfants de son âge. Sont exclus tous les forums, chats, blogs.
« adolescent » (+10 ans), votre enfant a accès à tout Internet mais les sites illégaux (racisme, drogue…) et
inappropriés pour les mineurs (pornographie, violence…) sont filtrés.

Les logiciels de contrôle parental permettent également de bloquer les chats, les forums, les téléchargements
de vidéo et de musique (souvent illégaux) et de limiter les horaires de connexion à Internet. Les moteurs de
recherche de Msn, Yahoo et Google proposent dans leurs préférences de filtrer les pages Web à caractère
sexuellement explicites (images, vidéo…), pensez-y.

6
 Le G29 précise les règles applicables aux réseaux
sociaux
Facebook, Myspace, Linkedin, Copainsdavant et plus largement les réseaux sociaux sur internet, sont
source de nouveaux enjeux en termes de protection de la vie privée. Ils offrent des services innovants
et généralement gratuits, souvent en contrepartie d’une collecte massive de données personnelles
pour une utilisation commerciale. Il est parfois difficile de déterminer ce qu’il adviendra de ces
informations une fois qu’elles ont été mises sur le réseau. C’est pourquoi le G29, groupe des CNIL
européennes, a précisé, dans son avis du 12 juin 2009, les règles applicables aux réseaux sociaux.

Le développement fulgurant des réseaux sociaux impacte directement la vie privée des internautes du fait de la
très grande quantité de contenu déposée par les utilisateurs et de la coexistence d’univers personnels et
professionnels sur les mêmes plateformes.
De nombreuses questions se posent donc, notamment sur l’information des personnes, l’utilisation des
données par des tiers, le paramétrage par défaut des outils de gestion de la vie privée, ou encore les
possibilités de quitter définitivement ces réseaux en supprimant son compte.
Dans le but de préciser et d’harmoniser les règles européennes, le G29 (groupe des CNIL européennes) vient
d’adopter un avis sur les réseaux sociaux. Cet avis affirme l’applicabilité du droit européen sur la protection des
données aux réseaux sociaux, même quand leur siège se trouve hors d’Europe. Les grands réseaux sociaux
américains ne partagent pas toujours cette analyse bien qu’ils s’efforcent généralement de respecter la plupart
des principes de protection des données. Toutefois, Linkedin est allé plus loin puisqu’il a effectué toutes les
formalités déclaratives auprès de la CNIL.

Les CNIL européennes demandent également à ces acteurs de :

- Définir des paramètres par défaut limitant la diffusion des données des internautes
– Mettre en place des mesures pour protéger les mineurs.
– Supprimer les comptes qui sont restés inactifs pendant une longue période.
– Permettre aux personnes , même si elles ne sont pas membres des réseaux sociaux, de
bénéficier d’un droit de suppression des données qui les concernent.
– Proposer aux internautes d’ utiliser un pseudonyme, plutôt que leur identité réelle.
– Mettre en place un outil accessible aux membres et aux non membres, sur la page d’accueil des
réseaux sociaux permettant de déposer des plaintes relatives à la vie privée.

Le G29 demande aux réseaux sociaux de répondre à cet avis et d’indiquer dans quelle mesure ils comptent
mettre en œuvre ses recommandations. Il envisage d’organiser à la fin de l’année des auditions des principaux
réseaux sociaux.

7
 "L'employeur peut licencier un salarié en s'appuyant sur des photos ou des
textes diffusés sur Facebook"

Kevin Colvin est la première victime sociale de Facebook. Ce jeune britannique s'est absenté de son
bureau et a donné à son employeur, l'Anglo Irish Bank, un faux motif d'absence, une urgence familiale.
Las, une photo, publiée sur son profil Facebook, le montre, déguisé en fée à une soirée Halloween. Et
cette photo est admirée par son patron. La supercherie, dévoilée, trouve sa sanction : Kevin est
licencié. Une telle histoire peut-elle se dérouler en France ? Réponse par Me Christophe Noël, avocat au
barreau de Paris, spécialiste en droit du travail.

Latribune.fr : Quels sont les droits des salariés sur Internet ?

Christophe Noël : Les écrits et les photos diffusés sur les réseaux sociaux du Web relèvent de la protection de
la vie privée du salarié, qui constitue une liberté fondamentale. Cette protection impose, en principe, à
l'employeur de ne prendre aucune sanction contre un salarié pour une cause tirée de sa vie privée.

Cette liberté fondamentale du salarié n'a-t-elle pas des limites ?

Il y a deux grands principes, à savoir la protection de la vie privée (l'article 9 du code civil) et la protection de la
correspondance privée. Mais il y a deux exceptions. Cette protection s'arrête lorsque les propos d'un salarié
causent un trouble manifeste à l'entreprise et lorsque la correspondance n'est plus privée, car elle est diffusée.

Et c'est là le danger potentiel des réseaux sociaux ?

Les réseaux sociaux tels Facebook sont un lieu privé ouvert au public. Car l'accès aux informations
personnelles des participants est en principe restreint. Les écrits diffusés sur un réseau communautaire sont à
mon sens, privés s'ils visent des personnes liées entre elles par une telle communauté d'intérêts. Mais toutes
les informations qui vous concernent peuvent être utilisées et diffusées à votre insu par vos contacts et vos
amis d'amis.

Quels textes de loi vont s'appliquer en cas de propos injurieux sur son profil Facebook ?
Le droit de l'information s'appliquera, avec la répression civile et pénale habituelle de la diffamation, de l'injure,
de l'atteinte au respect du droit à la vie privée, ou encore de la contrefaçon. Le droit du travail s'applique aussi
si les propos diffusés sont de nature à créer, compte tenu de la nature des fonctions des salariés et de la
finalité propre de l'entreprise, un trouble objectif caractérisé au sein de l'entreprise. Le pouvoir de sanction de
l'employeur est alors légitime.

Deux droits s'affrontent alors ?

Deux droits s'affrontent, celui du salarié qui a le droit de s'exprimer et celui de l'employeur qui a le droit de
sanctionner. Les salariés bénéficient d'un droit de s'exprimer "sur le contenu, les conditions d'exercice et
l'organisation de leur travail" en vertu de l'article L. 2281-1 du code du travail. Ce droit d'expression peut
parfaitement s'exercer en dehors de l'entreprise, sur un réseau communautaire par exemple.

Dans quel cas l'employeur peut sanctionner ?

L'employeur pourrait se servir de la correspondance privée d'un salarié pour le licencier, si le contenu du
message a été révélé par l'un des destinataires qui s'en est plaint à l'employeur et qu'il y a trouble manifeste
pour l'entreprise.

Y a-t-il des cas de jurisprudence en France avec Facebook ?

Il n'existe pas de jugement définitif pour les réseaux sociaux, contrairement aux blogs et aux forums. Le
phénomène de Facebook est récent en France. Le cas de l'anglais Kevin Colvin est à mon sens très

8
discutable, car l'employeur a porté atteinte à la vie privée du jeune homme. Certes, le salarié a menti à son
employeur, mais pour le droit français, il n'a pas créé de « trouble manifeste » au sein de son entreprise.

Jusqu'où pourrait aller l'employeur ?

Il n'existe pas de texte spécifique en droit du travail qui encadre la surveillance des salariés. C'est la
jurisprudence qui fixe les règles à respecter, en rappelant que l'employeur a le droit de surveiller ses salariés
dans l'entreprise à la condition de ne jamais porter atteinte à leur vie personnelle.