Facebook, Myspace, et bientôt Townsquare, les sites de socialisation attirent de plus en plus de membres,
toutes tranches d'âge et toutes nationalités confondues. Néanmoins, les internautes n'ont pas toujours
conscience des risques encourus en éparpillant des informations personnelles sur ces sites. Lepoint.fr a
interrogé Olivier Proust, avocat au barreau de Paris.
Lepoint.fr : En quoi les sites dits "de socialisation" portent-ils atteinte à la vie privée des
internautes ?
Olivier Proust : Tout d'abord, en invitant les internautes à créer un espace personnel sur lequel ils peuvent
diffuser leurs nom, prénom, adresse, photo, etc. Souvent, les internautes n'ont pas conscience qu'il s'agit
d'informations très personnelles (photos de famille, contacts personnels ou professionnels, etc.) voire
sensibles (opinions politiques ou religieuses, préférences sexuelles, etc.). Toutes ces informations
constituent des données à caractère personnel qui font partie de la sphère privée de chaque individu et qui
sont à ce titre protégées juridiquement. En les dévoilant sur les sites de socialisation, les internautes
diminuent leur protection au titre de la vie privée, qui devient en quelque sort "publique". Ils peuvent en
revanche agir contre le site si celui-ci fait une utilisation non autorisée de leurs données. Au Canada, un
groupe d'avocats et d'étudiants en droit, le Canadian Internet Policy and Public Internet Clinic (CIPPIC), a
déposé plainte contre Facebook auprès du Commissaire à la protection de la vie privée. Selon lui, Facebook
violerait 22 dispositions de la loi canadienne de protection des données personnelles (PIPEDA Act),
notamment en raison de la communication des données personnelles à des professionnels du marketing
sans le consentement des utilisateurs.
L.P : La diffusion de données personnelles sur les sites de socialisation accroît-elle les risques de
spam ?
O.P : L'un des principaux risques engendrés par la diffusion de données personnelles sur les sites de
socialisation est que les internautes deviennent plus facilement la cible des entreprises de marketing et des
publicitaires. En effet, les professionnels de marketing peuvent recueillir auprès de ces sites de précieuses
informations sur les habitudes de vie, les goûts ou les préférences de millions d'internautes et ainsi mieux
cibler leurs opérations de marketing en fonction du profil des internautes. Dans son rapport d'activité 2008, la
Commission nationale de l'informatique et des libertés (Cnil) met en garde les internautes : "L'internaute
rend sa vie privée visible par chacun sur la toile et permet aux sites de se constituer de formidables mines
d'informations susceptibles ainsi de multiples exploitations commerciales." En novembre 2007, Facebook
avait d'ailleurs annoncé l'ouverture aux annonceurs de l'ensemble des profils de ses membres.
L.P : Des mesures ont-elles été prises pour mieux protéger les données personnelles des internautes
?
O.P : En France, la Cnil a entamé un dialogue avec les principaux acteurs concernés afin de trouver des
solutions permettant de mieux protéger les données personnelles des internautes. La Cnil s'intéresse
particulièrement aux questions d'information des utilisateurs, de durée de conservation des données
collectées et de mise en oeuvre effective des droits d'accès et de rectification des données. Au niveau
européen, le groupe de l'article 29 (organe regroupant les autorités de protection des données personnelles
des 27 pays membres de l'UE) examine de près l'exploitation des données à caractère personnel sur
Internet. Après un premier avis rendu le 4 avril 2008 sur la protection des données personnelles applicable
aux moteurs de recherche, le groupe 29 planche sur un nouvel avis relatif aux sites de socialisation, lequel
devrait voir le jour à l'automne prochain.
O.P : La cybercriminalité existe partout sur Internet. Néanmoins, les sites de socialisation semblent propices
à certains types de cybercrime, comme l'usurpation d'identité. Il est en effet très facile de créer une fausse
identité à partir d'un nom, d'un e-mail et d'une photo. Rien ne prouve que la personne qui se cache derrière
1
cette identité virtuelle est bien celle qu'elle prétend être. En 2006, une femme a ainsi été condamnée à plus
de 10.000 euros pour avoir usurpé l'identité de sa collègue de bureau sur le site de rencontre Meetic. Le
problème de l'usurpation d'identité représente un danger en particulier pour les enfants qui s'initient de plus
en plus tôt aux pratiques du chat, aux forums, et aux blogs, mais n'ont pas forcément le recul nécessaire ou
la maturité leur permettant de déceler certains dangers. Ainsi, aux États-Unis, une mère de famille qui s'était
fait passer pour un jeune garçon de 16 ans a été inculpée après le suicide d'une adolescente avec laquelle
elle dialoguait sur Myspace.
L.P : Hormis les risques provenant du site lui-même, quels autres dangers guettent l'internaute ?
O.P : Les nombreuses applications offertes sur les sites de socialisation permettent aux internautes de
diffuser, d'échanger ou de copier toutes sortes de contenus multimédias (musique, films, textes, etc.), ce qui
peut constituer un acte de contrefaçon lorsque les oeuvres sont protégées par le droit d'auteur. Un autre
exemple est la diffusion de photos sur son profil. Les internautes ignorent souvent que la simple diffusion de
l'image d'un ami sans son consentement peut porter atteinte à l'image de cette personne. Dans ce contexte,
l'utilisation des sites de socialisation doit s'entourer de précautions, afin de se prémunir soit contre des
atteintes portées à sa vie privée et à son intimité, soit contre des agissements illicites qui peuvent engager la
responsabilité civile ou pénale de leurs auteurs.
2
Les risques et les bonnes attitudes pour se
protéger sur les réseaux sociaux
Dans le cadre du petit déjeuner thématique & formation sur les opportunités et les dangers des réseaux
sociaux pour les entreprises organisé par IE Love PME et NANOJV, Dominique Bourra CEO de NANOJV
a rencontré Michel Lanaspèze Directeur Marketing et Communication pour l'Europe du Sud de Sophos.
Dominique Bourra : Les réseaux sociaux sont en plein essor et pénètrent au coeur des entreprises,
s’agit-il d’un nouveau danger pour les PMEs ?
Michel Lanaspèze : Il y a un double danger. D’un côté les cybercriminels s’attaquent avec goinfrerie à ce
nouveau media et de l’autre les internautes ne sont pas conscients des dangers encourus puisque par
définition ils naviguent au sein de réseaux d’amis.
DB : Est-ce que la solution est d’interdire l’usage des réseaux sociaux dans les entreprises ?
ML : Non. certainement pas. On peut ainsi établir un parallèle avec la messagerie électronique il y a quelques
années. Fallait-il cesser d’utiliser les messageries électroniques sous prétexte que 95 % des messages étaient
du spam: non évidemment. Impensable… De la même façon, l’utilité des réseaux sociaux est trop grande pour
que l’on puisse envisager de s’en passer. C’est une richesse pour les entreprises qui trouvent là de nouveaux
moyens de communications avec leurs clients, avec les utilisateurs, et particulièrement avec les nouvelles
générations.
DB : Tout le monde s’accorde sur les bienfaits des réseaux sociaux, mais les chefs d’entreprises sont-
ils suffisamment conscients et informés des risques ?
ML : Malheureusement non. Ils sont bien sûr conscients qu’il existe des risques sur internet mais leur niveau
de connaissance de ces risques reste généralement assez diffus, à fortiori en ce qui concerne les risques
spécifiques des réseaux sociaux.
DB : Les PMEs sont donc plus vulnérables que les grands groupes face aux réseaux sociaux ?
ML : En matière de risque informatique en général. Certaines PMEs sont certes extrêmement pointues sur ce
sujet. Mais dans leur grande majorité elles sont entièrement concentrées sur le développement de leur activité
et disposent de peu de temps et peu de ressources pour la sécurité. Ainsi se contentent-elles en général
d’assurer une sécurité de base mais sans trop explorer au delà, ce qu’elles pourraient faire pour se protéger
efficacement.
DB : Est ce que la mauvaise utilisation des réseaux sociaux peut menacer l’existence même d’une
entreprise ?
ML : Oui par exemple dans le cas où, par inadvertance, un employé communique des informations critiques
pour l’entreprise sur un réseau social ou encore en cas de divulgation de fichiers clients contenant des
informations bancaires, suite à une infection consécutive à l’utilisation insécurisée de réseaux sociaux. On peut
imaginer dans ces cas que des procès mettent en péril la viabilité de l’entreprise.
DB : De nombreuses PMEs coopèrent étroitement avec des grands groupes dans le cadre de sous-
traitances et de prestations diverses. Est ce que les PMEs par leur vulnérabilités spécifiques à la
cybercriminalité constituent potentiellement un talon d’achille pour les grands groupes ?
ML : Oui et non, car en général les grands groupes encouragent et aident leurs réseaux de partenaires à bien
se protéger eux-mêmes.
3
DB : Dans tous les cas ?
ML : C’est là ou l’on peut se poser la question effectivement. C’est à dire que par le jeu de “sous-traitants de
sous-traitants”, on peut se retrouver dans des situations un peu plus dangereuses.
DB : Qu’est ce qui fait qu’aujourd’hui des patrons de PMEs ne s’équipent pas comme ils le devraient en
matière de protection contre les mauvais usages des réseaux sociaux ?
ML : Je pense que c’est d’abord une question de prise de conscience , une question de temps disponible…
DB : Vous participez aux côtés de Me Diane Mullenex et d’Alban Ondrejeck, spécialiste Sécurité de
l’Information pour Orange Business Services, à notre petit déjeuner-formation du 31 mars prochain au
Procope à 09H00 (pour s’inscrire cliquer ici). Chaque participant pourra-t-il ressortir avec une idée très
claire des risques et des solutions éventuelles ?
ML : Oui, nos exposés permettront aux responsables présents de se faire une idée des grandes catégories de
risques et des bonnes attitudes à adopter pour se protéger.
DB : Vous remettrez personnellement aux participants quelques documents, dont l’étude récente éditée
par Sophos.
ML : Oui, dans notre rapport 2010 sur les menaces de la sécurité, nous avons couvert de manière assez
étendue les nouveaux problèmes de sécurité liés aux réseaux sociaux. Nous remettrons également aux
participants un dictionnaire des menaces ainsi que tout un ensemble de petits documents très utiles concernant
les bonnes pratiques et le bon usage des réseaux sociaux.
Sources:
(*) Michel Lanaspèze est Directeur Marketing et Communication pour l’Europe du Sud de Sophos,
premier éditeur d’origine européenne de solutions de sécurité pour les réseaux d’entreprise. Il possède quinze
ans d’expérience dans le domaine de la sécurité informatique, en tant que Chef de Produits puis Directeur
Marketing au sein du Groupe Bull, d’Evidian, de Netcelo, et de Sophos depuis 2002. Auparavant, il exerçait des
responsabilités de Chef de Projets pour le développement de solutions d’administration de réseaux pour les
sociétés Sligos puis SITA/Equant. Michel Lanaspèze est diplômé de L’Ecole Nationale Supérieure des
Télécommunications de Paris et titulaire d’un MBA de l’INSEAD.
(**) Sophos société britannique basée près d’Oxford est l’un des plus grands éditeurs mondiaux de
solutions de sécurité informatique et de protection de données. Ses produits réputés pour leur fiabilité et
leur simplicité d’utilisation équipent plus de 100 millions d’utilisateurs dans 150 pays. En 2009 Sophos figurait
parmi les leaders mondiaux dans le quadrant magique du Gartner Group sur la Protection des Systèmes
(Endpoint Protection) et dans celui sur la Protection des Données Mobiles (Mobile Data Protection).
4
La protection de l'enfant sur internet
L’association e-Enfance, qui agit pour que les enfants puissent profiter du Net en sécurité, vous
propose quelques repères et bonnes pratiques indispensables pour que vos enfants et ados surfent
intelligemment.
5
par des sites de jeux qui les fidélisent grâce aux premières parties payantes pour passer ensuite à un mode
payant.
Déterminez avec votre enfant la plage horaire pendant laquelle il peut être sur l’ordinateur ou son
téléphone portable.
Aidez-vous du contrôle parental qui est un outil nécessaire, même si pas suffisant, pour filtrer les contenus
indésirables pour les mineurs.
Tous les Fournisseurs d’accès à Internet (Orange, Neuf Cegetel, Free, Alice, Numéricable, Club Internet, Télé
2, Darty, SFR) proposent un logiciel de contrôle parental gratuit à leurs abonnés. Il fonctionne généralement à
l’aide de 2 profils :
« enfant » (-10 ans), votre enfant navigue dans un univers fermé de sites prédéfinis correspondant aux centres
d’intérêt des enfants de son âge. Sont exclus tous les forums, chats, blogs.
« adolescent » (+10 ans), votre enfant a accès à tout Internet mais les sites illégaux (racisme, drogue…) et
inappropriés pour les mineurs (pornographie, violence…) sont filtrés.
Les logiciels de contrôle parental permettent également de bloquer les chats, les forums, les téléchargements
de vidéo et de musique (souvent illégaux) et de limiter les horaires de connexion à Internet. Les moteurs de
recherche de Msn, Yahoo et Google proposent dans leurs préférences de filtrer les pages Web à caractère
sexuellement explicites (images, vidéo…), pensez-y.
6
Le G29 précise les règles applicables aux réseaux
sociaux
Facebook, Myspace, Linkedin, Copainsdavant et plus largement les réseaux sociaux sur internet, sont
source de nouveaux enjeux en termes de protection de la vie privée. Ils offrent des services innovants
et généralement gratuits, souvent en contrepartie d’une collecte massive de données personnelles
pour une utilisation commerciale. Il est parfois difficile de déterminer ce qu’il adviendra de ces
informations une fois qu’elles ont été mises sur le réseau. C’est pourquoi le G29, groupe des CNIL
européennes, a précisé, dans son avis du 12 juin 2009, les règles applicables aux réseaux sociaux.
Le développement fulgurant des réseaux sociaux impacte directement la vie privée des internautes du fait de la
très grande quantité de contenu déposée par les utilisateurs et de la coexistence d’univers personnels et
professionnels sur les mêmes plateformes.
De nombreuses questions se posent donc, notamment sur l’information des personnes, l’utilisation des
données par des tiers, le paramétrage par défaut des outils de gestion de la vie privée, ou encore les
possibilités de quitter définitivement ces réseaux en supprimant son compte.
Dans le but de préciser et d’harmoniser les règles européennes, le G29 (groupe des CNIL européennes) vient
d’adopter un avis sur les réseaux sociaux. Cet avis affirme l’applicabilité du droit européen sur la protection des
données aux réseaux sociaux, même quand leur siège se trouve hors d’Europe. Les grands réseaux sociaux
américains ne partagent pas toujours cette analyse bien qu’ils s’efforcent généralement de respecter la plupart
des principes de protection des données. Toutefois, Linkedin est allé plus loin puisqu’il a effectué toutes les
formalités déclaratives auprès de la CNIL.
- Définir des paramètres par défaut limitant la diffusion des données des internautes
– Mettre en place des mesures pour protéger les mineurs.
– Supprimer les comptes qui sont restés inactifs pendant une longue période.
– Permettre aux personnes , même si elles ne sont pas membres des réseaux sociaux, de
bénéficier d’un droit de suppression des données qui les concernent.
– Proposer aux internautes d’ utiliser un pseudonyme, plutôt que leur identité réelle.
– Mettre en place un outil accessible aux membres et aux non membres, sur la page d’accueil des
réseaux sociaux permettant de déposer des plaintes relatives à la vie privée.
Le G29 demande aux réseaux sociaux de répondre à cet avis et d’indiquer dans quelle mesure ils comptent
mettre en œuvre ses recommandations. Il envisage d’organiser à la fin de l’année des auditions des principaux
réseaux sociaux.
7
"L'employeur peut licencier un salarié en s'appuyant sur des photos ou des
textes diffusés sur Facebook"
Kevin Colvin est la première victime sociale de Facebook. Ce jeune britannique s'est absenté de son
bureau et a donné à son employeur, l'Anglo Irish Bank, un faux motif d'absence, une urgence familiale.
Las, une photo, publiée sur son profil Facebook, le montre, déguisé en fée à une soirée Halloween. Et
cette photo est admirée par son patron. La supercherie, dévoilée, trouve sa sanction : Kevin est
licencié. Une telle histoire peut-elle se dérouler en France ? Réponse par Me Christophe Noël, avocat au
barreau de Paris, spécialiste en droit du travail.
Quels textes de loi vont s'appliquer en cas de propos injurieux sur son profil Facebook ?
Le droit de l'information s'appliquera, avec la répression civile et pénale habituelle de la diffamation, de l'injure,
de l'atteinte au respect du droit à la vie privée, ou encore de la contrefaçon. Le droit du travail s'applique aussi
si les propos diffusés sont de nature à créer, compte tenu de la nature des fonctions des salariés et de la
finalité propre de l'entreprise, un trouble objectif caractérisé au sein de l'entreprise. Le pouvoir de sanction de
l'employeur est alors légitime.
8
discutable, car l'employeur a porté atteinte à la vie privée du jeune homme. Certes, le salarié a menti à son
employeur, mais pour le droit français, il n'a pas créé de « trouble manifeste » au sein de son entreprise.