Vous êtes infidèle ? Cela pourrait bientôt se savoir …
Publié le 07/09/2015 par Etienne Wery , Camille Bourguignon
Vous êtes marié(e), pacsé(e), signataire d’un contrat de vie commune ou tout simplement en couple … et vous rêvez d’aventures extra-conjugales ? Pas de problème, il existe des sites spécialisés dans l’infidélité conjugale. Ashley Madison, site canadien, est devenu un des leaders mondiaux du genre, notamment grâce à une communication osée utilisant sans leur accord l’image de tout ce que la planète compte comme têtes couronnées et autres chefs d’Etat infidèles.
L’existence de ce genre de sites pose un problème essentiellement moral. Il fallait y penser. Il fallait aussi avoir une bonne connaissance des petits coins sombres de l’esprit humain pour en faire un business. Ils l’ont fait … et ils s’en frottent les mains car le site est extrêmement rentable.
Sur le plan de la loi, ce genre de sites n’est en principe pas critiquable – du moins pas dans nos pays occidentaux. Ashley Madison se présente comme un endroit « sur lequel [est proposé] à des utilisateurs possédant des intérêts en commun une façon interactive de communiquer, d’explorer leurs fantasmes, de se divertir et de déterminer s’ils souhaitent se rencontrer, discuter en ligne et/ou explorer les relations extra-conjugales ». On ne confondra donc pas Ashley Madison avec les sites de revenge porn par exemple, qui incitent à la commission d’une infraction (le harcèlement).
Ashley Madison a été piraté au mois de juillet par une équipe de hackers puritains (bien ou mal intentionnés ? tout dépend du point de vue). Résultat : les données de plusieurs dizaine de millions d’utilisateurs (nom, préférence sexuelle, données bancaires, etc.) ont fuité et aujourd’hui se retrouvent en accès peer to peer sur internet.
A partir d’ici, le ton doit devenir sérieux car les drames humains se multiplient. Au Canada, la police enquête sur plusieurs suicides qui seraient liés à cette divulgation (les malheureux auraient préféré mourir que s’expliquer). Ailleurs, des homosexuel(le)s ont pris la fuite car cette orientation sexuelle y est sévèrement punie. Ailleurs encore, des femmes prient chaque jour que leur nom ne soit pas divulgué car elles risquent ni plus ni moins que la peine de mort. Aux USA, les fonctionnaires tremblent car tromper son conjoint est, dans la fonction publique, un motif de renvoi immédiat. Et l’on ne compte plus les foyers qui se déchirent.
On comprend soudain toute l’importance de la sécurité des données et du cadre juridique qui l’accompagne.
La responsabilité du site
Ce genre de site est légal, mais est-il non-responsable pour autant ? Rien n’est moins sûr.
Ashley Madison est victime (d’un hacking) et la victime n’est en principe pas responsable de son malheur. Sauf que … en Europe, le responsable du site à qui l’utilisateur confie des données à caractère personnel a, à l’égard de ces données, une obligation de sécurité. Il doit assurer une protection « adéquate » des données.
La loi (on retrouve le même principe partout dans l’UE) crée une obligation générale de sécurité : « Afin de garantir la sécurité des données à caractère personnel, le responsable du traitement et, le cas échéant, son représentant (…), ainsi que le sous-traitant doivent prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l’accès et tout autre traitement non autorisé de données à caractère personnel. Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d’une part, de l’état de la technique en la matière et des frais qu’entraîne l’application de ces mesures et, d’autre part, de la nature des données à protéger et des risques potentiels. »
La loi ne précise pas ce que l’on entend par un niveau de protection adéquat. Tout dépend du cas d’espèce, mais on doit tenir compte de l’état de la technique, et de la nature des données à protéger et des risques potentiels.
Lorsque l’on est actif dans le business de l’infidélité, vu les conséquences d’une violation de la sécurité, ce genre d’obligation prend tout son sens. Il se murmure du reste que de l’autre côté de l’Atlantique, plusieurs cabinets d’avocats étudient le dossier de très près. Le fondement d’une éventuelle action en justice aux États-Unis sera probablement différent, mais les principes sont proches : plus on manipule quelque chose de dangereux pour gagner (très bien) sa vie, plus on est supposé prendre de précautions. Et si l’on cause à un tiers un dommage en raison de précautions insuffisantes, on doit en général en répondre.
Vers un durcissement de l’obligation de sécurité au niveau européen
Les textes en préparation au niveau européen vont dans le sens du renforcement de cette obligation de sécurité. Si aujourd’hui l’application de la législation européenne sur la protection des données (et a fortiori de la loi belge) à un site établi au Canada, est loin d’être certaine, avec le règlement européen en préparation, le doute ne sera plus permis : les entreprises établies hors d’Europe devront en principe se conformer à la réglementation européenne pour pouvoir offrir leurs services dans l’Union.
Le projet de règlement actuellement en discussion tend à obliger tout responsable de traitement de documenter en détail toutes les opérations effectuées sur les données, de conserver un historique, et de coucher sur papier toutes les procédures de collecte, d’accès, de conservation, etc. En vertu de ce nouveau texte, de plus, les citoyens seront aussi mieux informés en cas de piratage de leurs données. Ce système alourdira certainement la gestion des traitements de données, mais il visera aussi à contraindre les gestionnaires de fichiers à réfléchir à tous les risques et à toutes les questions liées à la gestion de leurs bases de données.
L’affaire Ashley Madison nous rappelle à quel point une telle réflexion en amont est essentielle tant pour l’entreprise, que pour l’utilisateur qui lui a confié ses données à caractère personnel. Il en va de l’avenir même de la vie privée sur internet.