Article L. 336-3 du nouveau Code de la propriété intellectuelle : « La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur sans l’autorisation des titulaires des droits. »

La guerre au téléchargement illégal étant désormais officiellement déclarée, des salariés un peu téméraires mais ne voulant pas se voir couper leur accès Internet Triple Play à leur domicile pourraient être tentés d’utiliser l’ordinateur du bureau ou leur portable professionnel en passant par le serveur de l’entreprise. Sans parler de leur ado qui, le soir à leur insu, charge ses musiques préférées. L’essentiel des téléchargements illégaux est d’ailleurs le fait de mineurs ayant depuis longtemps dépassé le stade de « l’informatique pour les nuls ».

Le directeur des services informatiques (DSI) commencera donc par mettre sur liste noire les sites d’échange désormais qualifiés de « pire to pire » (Bittorrent et autres eMule sont dans le collimateur) mais aussi ceux de streaming ou de téléchargements directs (Megaupload, RapidShare). Avec l’employeur soumis à cette nouvelle obligation (même pour le service marketing), ils ont du pain sur leur tapis souris.

En résumé : les deux lois de 2009 autorisent une surveillance généralisée de la Toile visant spécialement le téléchargement de fichiers protégés. Le contrôle de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi pour les intimes) portera pour l’essentiel sur 10 000 morceaux de musique et un gros millier de films, moitié anciens, moitié nouveaux, une partie étant modifiée chaque semaine pour contrecarrer d’éventuelles fuites.

En cas d’infraction constatée par ses agents assermentés, riposte en trois temps :

1° Envoi d’un simple courriel au titulaire de l’abonnement Internet lui rappelant les dispositions de la loi, mentionnant la date et l’heure des infractions pour l’éventuelle enquête interne (attention : dans l’entreprise, le poste en faute ne correspondra pas forcément à l’auteur réel de l’infraction) et lui enjoignant de respecter la loi en l’avertissant des sanctions encourues. En 2010, pas moins de 10 000 courriels devraient être envoyés chaque jour.

2° En cas de nouveau téléchargement illégal dans les six mois suivant ce courriel d’avertissement, lettre recommandée nettement plus menaçante rappelant une dernière fois aux malcomprenants qu’il convient d’arrêter leurs facéties et/ou de sécuriser leur ligne.

3° Pour le multirécidiviste, enfin, poursuites contraventionnelles (amende de 1 500 euros, 3 000 euros en cas de récidive), voire correctionnelles à juge unique pour délit de contrefaçon à l’encontre des vrais pros du piratage : 300 000 euros d’amende et trois ans de prison, un an de suspension d’accès et inscription sur le casier judiciaire.

Il ne servira à rien de prétendre que, malgré une mégachasse aux méchants contrefacteurs, l’auteur des infractions n’a pu être identifié : par exemple l’informaticien militant, incontournable spécialiste du contournement et des newsgroups (voir sur Google les dizaines de sites anti-Hadopi): « En cas de négligence caractérisée », la loi du 28 octobre 2009 prévoit à l’encontre du titulaire de l’abonnement auquel la Hadopi a adressé une recommandation en ce sens une amende de 1 500 euros, mais aussi une peine complémentaire : la suspension de l’abonnement, avec interdiction d’en souscrire un autre, où que ce soit (sinon amende de 3 750 euros). Même si les courriels ne sont pas concernés, ne plus avoir d’accès à Internet en 2010…

Tâche du DSI : les très lourds flux de musique et surtout d’images ayant des caractéristiques techniques carrément différentes des articles du Code du travail ou d’un haut de bilan, il lui appartient de faire un petite enquête puis un gros ménage pour éviter d’immenses soucis à l’entreprise (voir Flash ci-contre).

Tâche du DRH : faire d’abord œuvre de pédagogie tout en veillant à pouvoir, le cas échéant, disposer de preuves licites car loyales pour d’éventuelles sanctions disciplinaires à l’encontre des accros du téléchargement illégal.

Deux exigences :

Sur la forme. Ce contrôle plus pointu de l’activité des salariés entraînera les consultations habituelles : comité d’entreprise au titre de L. 2323-32, puis de chaque salarié concerné. Il sera utile d’envoyer à tous les utilisateurs du Net une circulaire écrite à quatre mains (DRH + DSI) expliquant en français (pas en informatico-globish : « un chiffrement WPA avec authentification AES/CCMP est au minimum nécessaire ») les nouvelles règles relatives à la sanction pénale des téléchargements illégaux… car tous ne le sont évidemment pas ! Puis de sanctionner disciplinairement les premiers contrevenants afin de montrer que ces pratiques ne bénéficient plus d’aucune tolérance. Répression qui permettra peut-être, si l’on est très optimiste, de limiter la responsabilité civile éventuelle de l’employeur commettant poursuivi par un tiers (cf. TGI de Paris, 13 février 2002 : « L’ouverture, par le salarié, du site litigieux sur le serveur de son employeur était étrangère à ses fonctions et a été opérée sans autorisation, ainsi qu’en atteste une lettre d’avertissement dont il a fait l’objet. »).

Il serait d’ailleurs utile d’en profiter pour actualiser la charte des technologies de l’information et de la communication (TIC) mais aussi le règlement intérieur, en y faisant expressément figurer le téléchargement illégal avec ses sanctions, en suivant bien sûr la procédure spécifique à tout avenant à celui-ci.

Sans oublier le respect des lois informatique et libertés : voir par exemple l’avis de la Cnil daté du 29 avril 2008 exigeant « des garanties particulières sur les conditions de mise en œuvre effective de cette obligation ».

Sur le fond : accéder à Internet est-il un droit fondamental ?

Dans sa décision du 3 mars 2009 sur la loi « relative au nouveau service public de la télévision », le Conseil constitutionnel avait confirmé la protection constitutionnelle de la liberté de communication dans sa dimension passive, le téléspectateur étant simple récepteur d’informations. Mais s’agissant du Web 2, où l’interactivité domine ?

« La libre communication des pensées et des opinions est un des droits les plus précieux de l’homme : tout citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi »: exactement quarante ans après la naissance du Net et au visa de l’article 11 de la Déclaration de 1789 qui doit tant à Voltaire, le Conseil constitutionnel a voulu, dans la décision Hadopi1 du 12 juin 2009, protéger la dimension active de la liberté de communication et d’expression. Soulignant que cette liberté est « d’autant plus précieuse que son exercice est une condition de la démocratie et l’une des garanties du respect des autres droits et libertés », il énonce : « En l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit implique la liberté d’accéder à ces services. »

Accéder à Internet serait-il devenu un droit fondamental, soumis au seul contrôle du juge judiciaire ? Pas tout à fait : « La reconnaissance d’une telle liberté ne revient pas à affirmer, comme le soutenaient les requérants, que l’accès à Internet est un droit fondamental », précisent les Cahiers du Conseil constitutionnel. « Pour lutter contre la contrefaçon sur Internet, la loi pouvait donc édicter des mesures portant atteinte à la liberté d’expression et de communication, le législateur était compétent pour réaliser la conciliation délicate entre deux droits constitutionnellement protégés. »

Sur le plan sociologique, cette décision ne fait qu’énoncer une évidence pour la génération Y, habituée à surfer sur le Net dès le CE1. Pouvoir se connecter à tout moment est pour elle le plus fondamental des droits fondamentaux ; lui retirer son téléphone portable ou lui interdire d’accéder à Internet constitueraient un traitement inhumain et dégradant au sens de la Cour européenne des droits de l’homme.

Sur le plan juridique, cette ascension fulgurante d’un droit dont personne ne parlait il y a même dix ans ne sera pas sans incidence sur le pouvoir de contrôle du chef d’entreprise quant à l’utilisation des TIC par les collaborateurs ou les syndicats.

Dans l’immédiat, et pensant sans doute au télétravailleur à domicile ou au créatif auto-entrepreneur voyant son accès à Internet suspendu à la suite des frasques de son ado (les Beatles remasterisés en 2009…), l’article L. 335-7-2 nouveau précise que, « pour prononcer la peine de suspension et en déterminer la durée, la juridiction prend en compte les circonstances et la gravité de l’infraction ainsi que la personnalité de son auteur, et notamment l’activité professionnelle ou sociale de celui-ci, ainsi que sa situation socio-économique. La durée de la peine prononcée doit concilier la protection des droits de la propriété intellectuelle et le respect du droit de s’exprimer et de communiquer librement, notamment depuis son domicile ».

À l’instar des VRP ou des routiers risquant de se voir retirer leur permis à cause des flashs de radars automatiques, le gendarme Hadopi surveille désormais les internautes surfant sur les autoroutes de l’information, avec ses propres contrôles automatiques et la même ordonnance pénale : mais la loi invite légitimement le juge à faire preuve de discernement. Question à 1 500 euros et éventuelle visite domiciliaire au petit matin pour terminer : chez vous, votre liaison Wi-Fi est-elle vraiment, vraiment bien sécurisée ?

Le DSI a pour mission d’assurer le fonctionnement et la sécurité des réseaux : il peut donc avoir accès à des informations personnelles des collaborateurs (messagerie, historique des sites visités, fichiers logs), y compris celles enregistrées sur le disque dur du poste de travail (fichiers temporaires, cookies…).

« À la suite de cet incident de sécurité et conformément à sa charte informatique, l’employeur avait pu confier une enquête spécifique à l’administrateur des systèmes, soumis à une obligation de confidentialité. » Dans l’arrêt du 17 juin 2009, la chambre sociale oppose employeur et DSI : si le premier ne peut prendre connaissance du contenu de courriels titrés « Personnel », le second a accès à tout : mais il ne peut pas jouer au Petit Rapporteur en cas de découverte de choses curieuses.

Si l’on écarte la commission de graves délits ou crimes (pédophilie ou terrorisme) que le DSI a l’obligation de signaler, une telle exigence le met en porte à faux avec tout le monde : les salariés le suspectant de flicage permanent, mais aussi l’employeur. Car ce secret professionnel n’existe pour l’instant nulle part : et si ce dernier met la pression sur l’administrateur, est-il vraiment en position de refuser Pourquoi ne pas inclure dans leur contrat une clause de confidentialité ?