Accès Internet en bibliothèque : ce qu’exige vraiment la loi

L’IABD (Interassociation Archives Bibliothèques Documentation) publie aujourd’hui une mise au point, concernant la teneur et l’étendue des obligations légales qui pèsent sur les services d’archives, de bibliothèques et de documentation lorsqu’ils offrent sur place des accès Internet à leurs usagers. L’information a été relayée sur Bibliobsession, Paralipomènes et sur le site de l’ADBS.

Le sujet est complexe et sensible, car il confronte les professionnels de l’information à un choix difficile. Donner accès à Internet constitue aujourd’hui pour les services d’archives, de bibliothèques et de documentation un aspect essentiel de leurs missions ; mais leur responsabilité est susceptible, à divers degrés, d’être engagée du fait d’agissements délictueux qui seraient commis à partir de ces connexions par leurs usagers.

Entre la liberté de l’usager et la responsabilité de l’établissement, il faut trouver un équilibre, qui est d’autant plus difficile à déterminer que les textes applicables sont nombreux (Code des postes et communications électroniques, loi LCEN de 2004, loi anti-terroriste de 2006, loi Hadopi de 2009, etc.) et leurs dispositions délicates à interpréter. Demander aux utilisateurs de s’identifier lorsqu’ils se connectent à Internet ; mettre en place des filtres pour bloquer l’accès à certains sites ; neutraliser certaines fonctionnalités comme le téléchargement ou l’usage des clés USB : autant de pratiques qui ont cours dans nos établissements, sans que l’on sache si elles sont réellement exigées par les textes de loi.

La question est d’autant plus importante que depuis l’été 2009, l’accès à Internet n’est pas seulement un service rendu à l’usager, mais l’exercice d’une liberté fondamentale, explicitement consacrée par le Conseil constitutionnel à l’occasion de sa censure de la première loi Hadopi :

"[...] aux termes de l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789 : "La libre communication des pensées et des opinions est un des droits les plus précieux de l’homme : tout citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi " ; qu’en l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit implique la liberté d’accéder à ces services."

Fragile, si fragile... la liberté d'accès à Internet. (En defensa de internet. Par tonymadrid photography. CC-BY-NC-ND. Source : Flickr)

Il peut être tentant pour les bibliothèques, archives et centres de documentation de mettre en place des mécanismes de contrôle qui leur permettront de limiter les risques de voir leur responsabilité engagée. Mais il faut bien avoir conscience que si ces dispositifs vont au-delà de ce que la loi exige, ils auront pour effet de restreindre volontairement l’exercice d’une liberté fondamentale des citoyens, garantie par la Constitution.

La mise au point de l’IABD passe en revue les textes pour délimiter avec précision le champ de ces obligations légales. Il ressort de l’analyse que si les bibliothèques, archives et centres de documentation sont bien obligés de conserver pendant un an les données de connexion (loi anti-terroriste de 2006), il n’est nullement exigé, ni de recueillir l’identité des personnes qui accèdent à Internet, ni de mettre en place a priori des moyens de sécurisation des connexions tels que des systèmes de filtrage.

Les textes préservent donc le droit des usagers à utiliser Internet librement, sans avoir à donner leur identité et à conserver leur anonymat lors de leur usage des connexions.

L’accès public à Internet est une liberté protégée, mais hélas menacée. Lors du débat de la loi Hadopi, il avait été un temps proposé par le ministère de la Culture de mettre en place un "portail blanc" pour brider les accès publics wifi et les restreindre à une liste prédéterminée de sites "propres". Un tel système aurait pu être appliqué dans les parcs ou les mairies, mais aussi dans les bibliothèques et autres services similaires offrant des accès wifi à leurs usagers. Face à cette menace d’atteinte à la liberté d’accès à l’information, l’IABD avait déjà réagi par le biais d’une déclaration. Le projet de portail blanc a finalement été abandonné lors de l’examen au Parlement de la loi, mais j’ai eu l’occasion d’essayer de montrer dans un billet précédent comment la loi Hadopi était susceptible d’aggraver la responsabilité pesant sur les bibliothèques du fait de l’usage des connexions Internet qu’elles offrent à leurs usagers.

Lors du dernier congrès de l’ABF, un atelier avait été organisé sur le thème "L’autonomie de l’usager versus la responsabilité du bibliothécaire" auquel j’avais participé. Il en était ressorti qu’au-delà de la question légale, les modalités de l’accès à Internet relèvent d’un choix professionnel qui revêt une forte dimension éthique. Pour que la liberté de l’usager puisse exister, le bibliothécaire doit nécessairement accepter d’assumer une part incompressible de responsabilité.

Aux Etats-Unis, les bibliothécaires ont subi (et subissent encore) les conséquences du Patriot Act, qui les obligent à communiquer aux autorités des données personnelles sensibles de leurs usagers.

Il n’y a pas (encore) de Patriot Act en France, mais bien souvent, il reste plus facile de se connecter à Internet depuis un Mac Do qu’à partir de la bibliothèque de son quartier.

Si les services de bibliothèques, d’archives et de documentation veulent pleinement jouer un rôle d’espace public dans la cité, ils doivent aborder de front ces questions.

Ci-dessous le texte complet de la mise au point de l’IABD.

*********************

Offrir un accès à l’internet dans une bibliothèque, un service d’archives ou d’information : Les conditions juridiques

Entre les missions des bibliothèques, des services d’archives et d’information, et les obligations légales, quelle est la frontière entre un service ouvert à tous et le respect de la loi ? Comment interpréter les mesures préconisées ou imposées par le législateur, et les concilier avec la tradition d’un accès le plus large possible à l’information et à la connaissance ? Y a-t-il un espace d’interprétation propice à la sauvegarde des libertés ? Partageons-nous une posture professionnelle respectueuse du droit mais aussi des intérêts des usagers ?

Quelles obligations légales ?

· Conserver les logs de connexion ?

Internet peut être libre et gratuit pour le public ; les établissements ne sont pas tenus de recueillir l’identité des personnes à qui ils proposent un accès à l’internet ; l’usager peut même utiliser un pseudo pour se connecter et avoir accès à ses espaces personnels. En revanche, on doit pouvoir identifier l’ordinateur à l’origine de l’usage illicite par une adresse IP fixe.

La seule obligation qui s’impose aux bibliothèques, aux services d’archives et d’information (ou aux organismes dont ils relèvent) est de remettre, lors d’une réquisition judiciaire ou administrative, selon les cas, les logs de connexion (note 1) et toutes les informations qu’ils détiennent (note 2). Ces informations seront recoupées par les services chargés de l’enquête pour retrouver la personne à l’origine de l’infraction. L’antériorité exigible pour les données est d’un an.

· Sécuriser les postes ?

La loi n’impose pas que l’on filtre les accès à l’internet des ordinateurs mis à la disposition du public (note 3). Installer des filtres pour bloquer certains sites susceptibles d’être pénalement répréhensibles ne permettrait que de limiter sa responsabilité en cas de réquisition judiciaire, c’est-à-dire seulement après avoir reçu une lettre recommandée enjoignant l’abonné de sécuriser son poste.

En revanche, le fait de munir de filtres les ordinateurs proposés au public limite de manière arbitraire l’accès à l’internet, alors que cet accès constitue une liberté publique consacrée par le Conseil constitutionnel [5].

· Remettre des informations nominatives ?

C’est une obligation qui ne s’impose, au titre de la loi Hadopi, qu’aux organisations qui opèrent en tant que FAI (les services informatiques des universités, par exemple). Il incombe, en effet, aux FAI de fournir aux personnes chargées de l’enquête les informations détaillées dans le décret du 5 mars 2010, dont certaines sont nominatives (note 4).

Le poids de chartes et des règlements

Chartes et règlements intérieurs permettent d’informer le public des bibliothèques sur les usages interdits, sur la surveillance dont ils peuvent faire l’objet et sur l’existence éventuelle de filtres.

D’autres documents destinés aux bibliothécaires leur rappellent le contrôle qu’il convient d’exercer et leur obligation de mettre fin à tout usage de l’internet qui serait manifestement illicite (contrefaçon, cyberpédopornographie, activités terroristes, etc.). L’enquête permettra d’évaluer, en fonction d’un contexte, la diligence du personnel.

Nulle obligation d’identifier les personnes ni même de filtrer les accès à l’internet

En cas de réquisition, les bibliothèques, les services d’archives et d’information abonnés à des FAI doivent remettre aux enquêteurs les logs de connexion et toute autre information habituellement recueillie. Il leur est recommandé de remettre aussi les chartes communiquées aux usagers et les informations destinées aux personnels.

Que disent les textes ?

La loi anti-terroriste

L’obligation de conserver pendant un an les données de connexion, imposée aux fournisseurs d’accès Internet (FAI) par la loi anti-terroriste du 23 janvier 2006 [1], est étendue à tous ceux qui offrent un accès à l’internet à leur public.

Comme l’indique le Forum des droits sur l’internet [7], la conservation des logs peut se faire de trois manières différentes :
- en utilisant localement des unités de stockage dédiées associées à un routeur mis en place pour assurer la répartition du trafic interne entre les différents postes ;
- en confiant cette obligation au FAI auprès duquel on a acheté des abonnements à plusieurs adresses IP publiques correspondant au nombre de postes ;
- en confiant l’enregistrement à un tiers prestataire de services.

La loi Hadopi

La loi dite Hadopi [3] dissocie les obligations des FAI de celles des titulaires d’un abonnement à l’internet. La responsabilité d’une bibliothèque, d’un service d’archives ou d’information titulaire de plusieurs abonnements auprès d’un FAI n’est engagée pour les usages illicites réalisés à partir des ordinateurs connectés au réseau mis à la disposition du public que si les postes n’ont pas été sécurisés, après en avoir reçu l’injonction écrite de la Haute Autorité pour la diffusion des œuvres et la protection des droits d’auteur sur Internet (Hadopi).

Qu’en conclure ?

Ni la loi anti-terroriste, ni la loi Hadopi n’obligent ces établissements à identifier les utilisateurs des ordinateurs mis à leur disposition, ni à conserver des informations nominatives pour les remettre lors d’une enquête diligentée par un juge au titre de la loi Hadopi, ou d’une personnalité qualifiée placée auprès du ministre de l’Intérieur au titre de la loi anti-terroriste, ni même à filtrer à titre préventif les accès à l’internet.

Le respect des usages traditionnellement admis dans les bibliothèques, services d’archives et d’information reste compatible avec les obligations juridiques qui leur sont imposées, dès lors que les professionnels appliquent la loi, toute la loi, rien que la loi.

Textes

1. Loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers. Sur le site Légifrance.

2. Décret 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques. Sur le site Légifrance.

3. Loi n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet. Sur le site Légifrance.

4. Décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet ». Sur le site Légifrance.

5. Décision n° 2009-590 DC du 22 octobre 2009. Loi relative à la protection pénale de la propriété littéraire et artistique sur internet. Sur le site du Conseil constitutionnel.

Recommandations – Déclarations

6. Offrir un accès public à l’internet : Des responsabilités aux multiples implications. Déclaration de l’IABD, 10 mars 2009. Sur le site de l’IABD.

7. Les lieux d’accès public à l’internet. Recommandation du Forum des droits sur l’internet, 28 décembre 2007. Sur le site du Forum des droits sur l’internet.

8. Non au portail blanc. Déclaration de l’IABD du 6 mars 2009. Sur le site de l’IABD.

Notes

(1) Logs de connexion

Les données relatives au trafic s’entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi.

Cette obligation s’impose à toutes « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit », une définition qui concerne les cybercafés mais également les bibliothèques. Il incombe aux opérateurs de communications électroniques de conserver pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales : a) Les informations permettant d’identifier l’utilisateur ; [c’est-à-dire celles qui sont enregistrées par lors des communications] b) Les données relatives aux équipements terminaux de communication utilisés ;

c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; e) Les données permettant d’identifier le ou les destinataires de la communication.

(2) Les données nominatives seront remises uniquement si celles-ci sont déjà recueillies habituellement.

(3) Selon l’article 25 de la loi sur le droit d’auteur et les droits voisins dans la société de l’information (Dadvsi), le titulaire d’un accès à des services en ligne de communication au public en ligne doit veiller à ce que cet accès ne soit pas utilisé à des fins de contrefaçon, en mettant en œuvre les moyens de sécurisation qui lui sont proposés par le fournisseur de cet accès en application de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. N’étant pas assortie de sanction, cette disposition ne peut pas être mise en œuvre.

(4) Loi Hadopi. Décret du 5 mars 2010 Les données conservées par les agents assermentés travaillant pour les ayants droit : date et heure des faits ; adresse IP des abonnés concernés ; protocole pair à pair utilisé ; pseudonyme utilisé par l’abonné ; informations relatives aux œuvres ou objets protégés concernés par les faits ; le nom du fichier présent sur le poste de l’abonné (le cas échéant) ; le nom de son fournisseur d’accès à internet. Les données à fournir à la Hadopi par les FAI : noms et prénoms de l’abonné, son adresse postale et son adresse électronique ; ses coordonnées téléphoniques et son adresse d’installation téléphonique.

(5) La bibliothèque titulaire d’un abonnement encourt des sanctions pénales : une contravention de 5ème catégorie (amende de 1500€), une coupure de l’accès à Internet d’un mois et une obligation de mettre en œuvre un « moyen de sécurisation » labellisé par la Hadopi.

25 mars 2010

IABD (Interassociation archives-bibliothèques-documentation) – http://www.iabd.fr
Secrétariat : ABF – 31, rue de Chabrol – 75010 Paris – 01 55 33 10 30 – abf@abf.asso.fr

À propos de Lionel Maurel (Calimaq)

Ce blog est tenu par : Calimaq - aka Lionel Maurel Juriste & Bibliothécaire. Contact : calimaq at gmail point com
Cette entrée, publiée dans A propos des libertés numériques, Bibliothèques, musées et autres établissemerents culturels, est taguée , , , , , . Bookmarquez ce permalien.

12 réponses à Accès Internet en bibliothèque : ce qu’exige vraiment la loi

  1. Pingback: Bibliobsession » Internet dans les bibliothèques : rien n’oblige à filtrer les contenus ni identifier les gens !

  2. marie H dit :

    Bonjour

    "Remettre des informations nominatives ?
    C’est une obligation qui ne s’impose, au titre de la loi Hadopi, qu’aux organisations qui opèrent en tant que FAI (les services informatiques des universités, par exemple). "
    Mais une bibliothèque qui dépend d’une université ? Le FAI (SI) ne peut connaître les informations nominatives que si la bibliothèque les lui donne ?
    merci de préciser ce point.

  3. Lully dit :

    Quelque chose m’échappe sans doute : si une bibliothèque a pour seule obligation de fournir ses logs de connexion, qu’est-ce qui l’empêche de paramétrer son réseau pour que ces logs contiennent le moins d’informations possible ?

    • calimaq dit :

      @Lully

      Bonjour,

      Si l’on s’en remet à ce guide publié par l’ARCEP (cf. p. 33), on trouve une liste des informations que les personnes qui offrent des connexions permettant une communication au public doivent collecter et garder pendant un an, pour être en mesure de répondre à une réquisition judiciaire.

      Ce sont en fait des données relatives au trafic, qui d’après le guide, comportent : les données relatives aux équipements terminaux de communication utilisés ; les caractéristiques techniques, date, horaire et durée de chaque communication ; les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; les données permettant d’identifier le ou les destinataires de la communication.

      On imagine donc que le réseau doit être paramétré a minima de manière à ce que les logs comportent ce type d’informations.

  4. Pingback: Accès Internet en bibliothèque : ce qu’exige vraiment la loi | Owni.fr

  5. Amaury Caudmont dit :

    Bonjour,

    Tout d’abord je me présente, Amaury Caudmont en charge de la politique d’accès aux espaces en ligne publics.

    J’ai porté un très grand intérêt à votre article : « Accès Internet en bibliothèque : ce qu’exige vraiment la loi » je souhaiterais donc rajouter une petite question à cet éclairage fort intéressant. Dans le cadre d’une mairie, nous avons un réseau fibre optique qui dessert les différents sites, notamment la bibliothèque de Valenciennes, L’accès Internet de la bibliothèque se fait donc par un FAI qui est la mairie à priori.

    Hors votre article ne parle pas de cas de figure. On parle de la conservation des informations de connexion dans l’article de la loi antiterroriste de 2006 pour les FAI et assimilés.

    Hors, d’autres problèmes se posent dans le cadre de l’application stricte de cette loi, par exemple dans le cadre du PIJ (Point d’Information Jeunesse), qui propose un accès internet aux jeunes, la charte de l’information jeunesse garantit structurellement l’anonymat des visiteurs. Comme débattu par un groupe de travail, la soumission aux obligations de conservation peut conduire à l’identification des usagers des lieux, et donc compromet le fonctionnement du réseau des PIJ en ne permettant plus l’accès anonyme… Il en va de même à priori pour les bibliothèques dans lesquelles les employés ont interdiction de tracer les recherches ou les lectures des usagers…

    Merci d’avance si vous pouviez m’éclairer sur cette question épineuse, surtout si cela a été réfléchi au moment de la promulgation de la loi ou au moment de l’ouverture des accès Internet publics au sein d’autres collectivités, bibliothèques, mairies etc…

    Je me tiens évidemment à votre disposition pour discuter de ce sujet.

    Cordialement,

    Amaury Caudmont

    • calimaq dit :

      @amaury et @marie H

      Bonjour,

      Vous soulevez là une question importante, qui a posé pas mal de difficultés lors de la préparation de cette mise au point.

      Il semblerait en effet que dans certains cas, la bibliothèque ne va pas être seulement considérée comme une personne "qui, au titre d’une activité professionnelle principale ou accessoire, offre au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau" (Art. L. 34-1 du Code des postes et communication électroniques), mais comme un FAI.

      Cela correspond plutôt à l’hypothèse décrite par Amaury où la bibliothèque va bénéficier d’un réseau technique mis en place par la personne dont elle dépend, commune ou université.

      La mise au point IABD évoque cette question dans ce paragraphe :

      · Remettre des informations nominatives ?

      C’est une obligation qui ne s’impose, au titre de la loi Hadopi, qu’aux organisations qui opèrent en tant que FAI (les services informatiques des universités, par exemple). Il incombe, en effet, aux FAI de fournir aux personnes chargées de l’enquête les informations détaillées dans le décret du 5 mars 2010, dont certaines sont nominatives (note 4).

      Ce décret est intervenu pour mettre en oeuvre la loi Hadopi 2 et il précise le type d’informations que les FAI doivent être en mesure de remettre : Nom de famille, prénoms ; Adresse postale et adresses électroniques ; Coordonnées téléphoniques ; Adresse de l’installation téléphonique de l’abonné.

      On pourrait donc penser que des obligations d’identification strictes pèsent sur les bibliothèques quand elles ne proposent pas seulement des connexions, mais bénéficient de leur propre réseau technique.

      Le problème, c’est qu’à la lecture de ce décret, on se rend bien compte qu’il n’est pas prévu pour régler ce genre de situations. Les FAI qui sont visés sont les services traditionnels qui permettent aux individus de s’abonner à Internet. Le cas des établissements qui fournissent des connexions à une communauté n’entre dans ces dispositions que par ricochet.

      Hélas, il est fort possible que ce décret mal ficelé puisse servir de base pour exiger qu’une bibliothèque modifie sa politique en matière d’identification des usagers.

      La vraie question consiste donc peut-être à militer pour que les bibliothèques et autres types d’établissements qui disposent de leur propre réseau technique, sans passer par un FAI traditionnel, n’entrent pas dans la catégorie juridique des FAI.

      Pour ce qui est de la question d’Amaury à propos de l’articulation des chartes qui garantissent l’anonymat des utilisateurs et la loi qui oblige à l’identification, je crains fort que ce ne soit les dispositions légales qui l’emportent. Une simple charte n’a pas l’autorité nécessaire pur écarter l’application des textes de loi.

      Ces questions méritent d’être creusées davantage que je ne le fais dans cette réponse.

      Il me semble que ces frictions montrent que les bibliothèques (et leurs publics) sont trop souvent des "victimes collatérales" de lois, qui ne prennent pas suffisamment en compte leurs spécificités.

  6. Pingback: Conditions juridiques d’accès à Internet en bibliothèque « VDL le blog

  7. Pingback: Droits d’auteur & co (date) « pintiniblog

  8. Pingback: Accès Internet en bibliothèque : ...

  9. Bonjour, je trouve votre article très intéressant et très instructif ! merci

  10. chat sexy dit :

    Sinon il existe les cybers et comme sa y un espace pour les personnes recherchant la tranquilité dans les bibliothèques et les cyber qui sont expret pour l’utilisation internet et donc ils ont des lois qui identifient chaque utilisateur !

Laisser un commentaire - attention en laissant un commentaire sur ce blog, vous acceptez définitivement qu'il soit placé sous la licence CC0.

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s