Loi pour la confiance dans l'économie numérique

Un article de Wikipédia, l'encyclopédie libre.
(Redirigé depuis LCEN)
Aller à : navigation, rechercher

Loi pour la confiance dans l’économie numérique

Présentation
Titre Loi nº 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique
Référence NOR : ECOX0200175L
Pays Drapeau de la France France
Type Loi ordinaire
Branche Droit de l’Internet
Adoption et entrée en vigueur
Législature XIIe législature de la Ve République
Gouvernement Gouvernement Raffarin II
Adoption 13 mai 2004
Promulgation 21 juin 2004
Version en vigueur 24 janvier 2006

Lire en ligne Version à jour, texte d'origine sur Légifrance

La loi pour la confiance dans l'économie numérique, n° 2004-575 du 21 juin 2004, abrégée sous le sigle LCEN, est une loi française sur le droit de l'Internet, transposant la directive européenne 2000/31/CE du 8 juin 2000 sur le commerce électronique et certaines dispositions de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques. La transposition de la directive 2000/31 aurait dû être effective le 17 janvier 2002 mais ne l'aura été que le 21 juin 2004.

Le Journal officiel des communautés européennes indique la transposition de la « Directive relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur ». Elle visait à promouvoir le commerce électronique au sein de l'Union européenne, suivant en cela la logique des traités dont le crédo est « un espace sans frontière intérieure dans lequel la libre circulation des marchandises et des services ainsi que la liberté d'établissement sont assurées » tel que préconisé par l'article 14-2 du Traité instituant la Communauté européenne.

Les rapporteurs de la LCEN furent Jean Dionis du Séjour (UDF) à l'Assemblée nationale et Pierre Hérisson (UMP) ainsi que Bruno Sido (UMP) au Sénat.

Adoption[modifier | modifier le code]

Le projet de loi a été adopté par l'Assemblée nationale le 6 mai 2004. Les députés UDF et UMP ont voté pour ; le PS, le PCR et les Verts contre[1].

Il a fait l'objet d'une saisie du Conseil constitutionnel déposée le 18 mai 2004 par l'opposition. Le Conseil constitutionnel a rendu sa décision le 10 juin 2004, rejetant la majorité des requêtes de l'opposition, tout en rejetant quelques mots du projet de loi comme inconstitutionnels et en ajoutant une réserve d'interprétation à propos de l'article 6[2].

D'un point de vue plus strictement juridique, le §7 de cette décision déclare que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle à laquelle il ne pourrait être fait obstacle qu'en raison d'une disposition expresse contraire de la Constitution  ; qu'en l'absence d'une telle disposition, il n'appartient qu'au juge communautaire, saisi le cas échéant à titre préjudiciel, de contrôler le respect par une directive communautaire tant des compétences définies par les traités que des droits fondamentaux garantis par l'article 6 du traité sur l'Union européenne. »

Polémique[modifier | modifier le code]

Cependant, la transposition de la directive prit du retard d'une part du fait d'une lenteur française dans ce domaine, et d'autre part en raison des oppositions virulentes qu'elle fit naître de la part des acteurs de l'internet.

Les fournisseurs d'accès à internet (FAI) s'inquiétèrent rapidement de la rédaction du texte initial, exigeant de leur part une vérification a priori (avant la mise en ligne) de la licéité de tous les comptes hébergés par leurs soins. Mesure techniquement difficile à mettre en place, mais pourtant rendue obligatoire par la loi en préparation. Pour mieux se faire entendre, et pour souligner le caractère incongru du projet de loi, les FAI ont alors menacés de suspendre toutes les pages personnelles qu'ils hébergeaient.

Le débat porta aussi sur la question de la confidentialité de la correspondance privée pour les courriels. En effet, soucieux que les échanges de fichiers (vidéos et audios) protégés par le droit d'auteur se soient accrus entre internautes, les rédacteurs du texte insistèrent pour que les messages électroniques puissent échapper à la notion de correspondance privée, afin de pouvoir surveiller et le cas échéant filtrer tout contenu illicite. Dans la lignée de la loi DADVSI, ce prétexte était assez discutable, puisque ces échanges de fichiers se font par des réseaux peer-to-peer (ou « pair-à-pair ») et rarement par courriel.

Les objurgations des fournisseurs d'accès mais aussi l'ire des organisations de défense de la liberté de la presse et des libertés individuelles telles que La Ligue des droits de l'homme, Reporters sans frontières et la Ligue ODEBI qui s'opposaient à plusieurs dispositions de la loi, obligèrent le gouvernement à reculer sur le très contesté article 6 sur la responsabilité des hébergeurs.

En outre, la loi a prohibé le fait de divulguer publiquement sur Internet des vulnérabilités accompagnées de code d'exploitation, ce qui a produit un malaise au sein des white hats, les « hackers » qui révèlent publiquement les vulnérabilités non découvertes des programmes à des fins d'information et d'amélioration de ces programmes. Ce faisant, la loi contredit nettement l'éthique hacker et le principe du logiciel libre, défendu en particulier par Michel Rocard.

Responsabilité des hébergeurs[modifier | modifier le code]

L'article 6, l'un des principaux objet de discorde (du moins le plus médiatisé, probablement en raison du poids économique des FAI par rapport aux « hackers » et autres amateurs éclairés de l'informatique), fut remanié de façon à proposer une responsabilité allégée et a posteriori. Celui-ci dispose :

« les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible. »

Il consacre de fait une responsabilité civile uniquement dans le cas d'une connaissance avérée par le prestataire de service de la présence d'informations illicites au regard de la loi. De plus, un autre garde-fou a été mis en place: la procédure relativement contraignante en matière de notification de contenu illicite :

La connaissance des faits litigieux est présumée acquise par les personnes désignées au §2 lorsqu'il leur est notifié les éléments suivants :

  • « la date de la notification ;
  • « si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement ;
  • « les nom et domicile du destinataire ou, s'il s'agit d'une personne morale, sa dénomination et son siège social ;
  • « la description des faits litigieux et leur localisation précise ;
  • « les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ;
  • « la copie de la correspondance adressée à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté. »

Sans omettre ce point particulier  :

« le fait, pour toute personne, de présenter aux personnes mentionnées au 2 un contenu ou une activité comme étant illicite dans le but d'en obtenir le retrait ou d'en faire cesser la diffusion, alors qu'elle sait cette information inexacte, est puni d'une peine d'un an d'emprisonnement et de 15 000 euros d'amende[3] ».

Ainsi la lourdeur de la procédure ainsi qu'une infraction prévue pour fausse notification allègent considérablement le risque de responsabilité des hébergeurs en la matière [réf. nécessaire].

L'art. 6 précise aussi que les hébergeurs ont la responsabilité d'identifier « quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires. »

L'art. 6 de cette loi a aussi été modifiée par l'art. 6 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme. Le Conseil Constitutionnel a été saisi de cette modification, et a refusé l'adjonction du verbe « réprimer » après « prévenir », qui tendait à une confusion des pouvoirs[4].

Correspondance privée[modifier | modifier le code]

L'article 1 définit ce qu'est le « courrier électronique »  :

« On entend par courrier électronique tout message, sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l'équipement terminal du destinataire, jusqu'à ce que ce dernier le récupère. »

Le secret de la correspondance n'est donc pas abordé. Dans sa décision 2004-496 du 10 juin 2004[2], le Conseil Constitutionnel n'a pas permis de régler le problème, le renvoyant aux décisions ultérieures des tribunaux, c'est-à-dire à la jurisprudence à venir. Il indique en effet que :

« considérant que cette disposition [l'article 1 de la LCEN] se borne à définir un procédé technique ; qu'elle ne saurait affecter le régime juridique de la correspondance privée ; qu'en cas de contestation sur le caractère privé d'un courrier électronique, il appartiendra à l'autorité juridictionnelle compétente de se prononcer sur sa qualification[2] ».

En d'autres termes, il revient aux juridictions de définir exactement quel est le statut juridique du courrier électronique. Ce sont les deux ordres de juridictions (judiciaire et administratif) qui ont la charge désormais de se saisir de ce problème en le clarifiant au sein d'une décision.

Publicité par voie électronique[modifier | modifier le code]

L'article 22 (codifié dorénavant dans le code des postes et des communications électroniques, article L 34-5) introduit la notion d'opt in en matière de publicité électronique  :

« Est interdite la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. »

Seule la personne physique est mentionnée, et non la personne morale. A contrario, il est admis que l'opt out soit la norme pour toute prospection publicitaire à l'égard d'administrations ou d'entreprises.

Le législateur prévoit pour le prospecteur l'obligation d'indiquer ses coordonnées pour que le destinataire puisse faire cesser la prospection  :

« Dans tous les cas, il est interdit d'émettre, à des fins de prospection directe, des messages au moyen d'automates d'appel, télécopieurs et courriers électroniques, sans indiquer de coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci. Il est également interdit de dissimuler l'identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec la prestation ou le service proposé. »

En cas d'infraction à cet article, la Cnil est déclarée compétente pour recevoir les plaintes et constater les infractions.

Notion de « commerçant électronique »[modifier | modifier le code]

La LCEN donne une définition assez proche de la directive quant à cette notion : « Le commerce électronique est l'activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services. »

Cette définition impliquant de facto des obligations contenues dans l'article 19 :

« Sans préjudice des autres obligations d'information prévues par les textes législatifs et réglementaires en vigueur, toute personne qui exerce l'activité définie à l'article 14 est tenue d'assurer à ceux à qui est destinée la fourniture de biens ou la prestation de services un accès facile, direct et permanent utilisant un standard ouvert aux informations suivantes :

  • « S'il s'agit d'une personne physique, ses nom et prénoms et, s'il s'agit d'une personne morale, sa raison sociale ;
  • « L'adresse où elle est établie, son adresse de courrier électronique, ainsi que son numéro de téléphone ;
  • « Si elle est assujettie aux formalités d'inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de son inscription, son capital social et l'adresse de son siège social ;
  • « Si elle est assujettie à la taxe sur la valeur ajoutée et identifiée par un numéro individuel en application de l'article 286 ter du code général des impôts, son numéro individuel d'identification ;
  • « Si son activité est soumise à un régime d'autorisation, le nom et l'adresse de l'autorité ayant délivré celle-ci ;
  • « Si elle est membre d'une profession réglementée, la référence aux règles professionnelles applicables, son titre professionnel, l'État membre dans lequel il a été octroyé ainsi que le nom de l'ordre ou de l'organisme professionnel auprès duquel elle est inscrite. »

Intervention des collectivités dans les infrastructures de communications électroniques[modifier | modifier le code]

La LCEN a accru les facultés d'intervention des collectivités territoriales en matière d'établissement de réseaux de communications électroniques en leur permettant d'établir et d'exploiter des réseaux de communications électroniques[5]. Ces compétences nouvelles sont codifiées à l'article L 1425-1[6] du code général des collectivités territoriales.

La notion d'« intrusion dans un système de traitement automatisé des données »[modifier | modifier le code]

La loi a aussi introduit un nouvel article dans le Code pénal (323-3-1) visant directement la détention et la mise à disposition d’équipements conçus pour commettre les faits d’intrusion dans un système ou d’entrave au fonctionnement de ce système. Cet article a lui aussi été critiqué, dans la mesure où il pourrait par exemple conduire à la pénalisation d'organismes travaillant sur la sécurité informatique et qui détiendrait, à ces fins, des virus. Pour détenir ces derniers, il faut un « motif légitime », dont seul la jurisprudence permettra de déterminer exactement l'étendue[7].

Un projet de décret d'application contesté dans la presse[modifier | modifier le code]

D'après le journal Le Monde[8] un décret d'application est en préparation sans doute pour le second semestre 2007.

Ce décret obligerait tous les opérateurs du secteur des communications numériques (fournisseurs d'accès Internet, éditeurs de sites Internet, opérateurs de téléphonie, etc.) à archiver durant un an et pour chaque contribution :

  • les identifiants et pseudonymes utilisés ;
  • les mots de passe et les codes d'accès confidentiels ;
  • la date et l'heure, la nature de l'opération ;
  • en cas de paiement, le type de moyen de paiement, le montant, le numéro de référence du paiement
  • etc.

Ce décret préciserait ce qui est entendu par une « contribution à une création de contenu ».

Certaines données pouvant être conservées durant trois ans par le ministère de l'Intérieur ou celui de la Défense.

Auront accès à ces renseignements, sans demander l'autorisation d'un juge :

La Cnil n'a pas le pouvoir de s'opposer à ce décret, mais aura le devoir d'en énoncer les limites.

Voir aussi Loi du 23 janvier 2006 relative à la lutte contre le terrorisme concernant l'obligation de conserver les données de connexion des usagers d'Internet ou de toute autre infrastructure de télécommunications.

Notes et références[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Textes officiels[modifier | modifier le code]