Le cas Fireworld a fait les gros titres avant hier. Cet éditeur a développé une série d’arguments nauséabonds pour inciter à l'achat de ses solutions, et notamment permettre à ses clients également parents de savoir si « leur fils est gay ». La vente et l'usage de ce genre de dispositif se frottent toutefois à une législation très précise. Explications.
« S’il est homosexuel, vous ne serez peut-être jamais grand parent, et vous n'aurez pas le bonheur de connaître vos petits-fils »… Les arguments développés par Fireworld pour inciter le client à acheter ses outils d’espionnage ont évidemment fait bondir, des associations LGBT à la secrétaire d’État à l’égalité femmes-hommes, en passant par une myriade de réactions sur les réseaux sociaux, dans les commentaires, etc. (notre actualité).
Au-delà de ces visées marketing crasses, gorgées d'optimisation dans les moteurs de recherche, un point ombragé reste à mieux éclairer : celui de l'encadrement de la vente et de l'usage des outils de surveillance.
La licéité de ces solutions de surveillance, côté vendeurs
Du côté des vendeurs, l’article 226-3 du Code pénal est plutôt clair. Il interdit sans détour « la fabrication, l'importation, la détention, l'exposition, l'offre, la location ou la vente d'appareils ou de dispositifs techniques de nature à permettre la réalisation d'opérations pouvant constituer l'infraction prévue par le second alinéa de l'article 226-15 ». Ces faits sont lourdement punis, jusqu’à cinq ans d'emprisonnement et 300 000 € d'amende.
Pour enclencher l’article 226-3, encore faut-il vérifier que la solution soit « de nature à permettre » l’une des opérations tombant dans le périmètre de l’infraction décrite à un autre article, le 226-15 du même code. Il s’agit là d’une référence aux différentes atteintes au secret des correspondances ou à l’interception des communications (« le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance »).
Le même article 226-3 punit de la même façon la mise à disposition de logiciels « ayant pour objet la captation de données informatiques » sans consentement de la victime, via keylogging, capture d’écran,... comme mentionné aux articles articles 706-102-1 et 706-102-2 du Code de procédure pénale.
En somme, proposer d’une manière ou d’une autre un logiciel taillé pour porter atteinte à la vie privée peut être interdit en France et engendrer quelques soucis aux responsables, selon l’analyse opérée par la justice.
Un régime soumis à autorisation du Premier ministre
Dans notre pays, la circulation de solutions très intrusives est en outre soumise à un carcan administratif pour éviter une foire à l’espionnage. Sans ces règles, en effet, nous trouverions des armées bruyantes de chevaux de Troie ou de keyloggers jusque dans les rayons des supermarchés.
Pour résumer, de tels logiciels doivent en théorie décrocher une autorisation ministérielle, en pratique délivrée par l’ANSSI pour le compte du Premier ministre. Elle est accordée selon différents critères, classés et donc non publics, comme nous l'a confirmé l'agence.
Dans le dédale des textes, les « dispositifs matériels et logiciels, de nature à permettre l'interception, l'écoute, l'analyse, la retransmission, l'enregistrement ou le traitement de correspondances émises, transmises ou reçues sur des réseaux de communications électroniques » par exemple, entrent typiquement dans le champ de l'autorisation en vertu d’un arrêté du 4 juillet 2012.
De la même manière, figurent tous « les dispositifs techniques (...) spécifiquement conçus pour, sans le consentement des intéressés, accéder aux données informatiques, les enregistrer, les conserver et les transmettre, telles qu'elles sont stockées dans un système informatique, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un tel système, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques audiovisuels. »
Ajoutons, lorsque les verrous n'ont pas été apposés sur les messages publicitaires, la possibilité d’agir sur le fondement de l’article 23 sur la liberté de la presse. La loi de 1881 permet spécialement de punir « d'une action qualifiée crime ou délit » ceux qui, sur un site accessible au public notamment, « auront directement provoqué » à commettre une infraction. Voilà pourquoi l'éditeur - qui n'a toujours pas diffusé la moindre mention légale - consacre une page entière pour expliquer notamment que « si vous ne respectez pas la loi en utilisant le logiciel espion FIREWORLD Controller, vous serez seul responsable de vos actes et vous en paierez les conséquences si la personne que vous contrôlez / espionnez décide de porter plainte. »
La licéité de ces solutions, côté acheteurs
Du côté des utilisateurs, prudence de rigueur. Outre l’article 226-15, celui qui fait usage de solutions d'espionnage risque de se frotter aussi aux foudres de l’article 226-1 du Code pénal.
Il punit d’un an d’emprisonnement et 45 000 euros d’amende le fait de porter, d’une manière quelconque, atteinte à la vie privée. Une infraction constituée dès la captation des paroles prononcées à titre privé ou la fixation de l’image de personnes qui se trouvent dans un lieu non public. Et encore, s'ajoutent les éventuels dommages et intérêts au civil, pour violation de l'intimité.
Selon les caractéristiques propres à chaque logiciel et les faits de l'espèce, d'autres textes peuvent s’appliquer. Installer un keylogger sur une machine distante sur laquelle on n’a aucun droit, peut permettre d’actionner l’article 323-1 du Code pénal, issu de la loi Godfrain. Il réprime cette fois de deux ans d'emprisonnement et de 60 000 euros d'amende « le fait de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données ».
Mieux : selon l’article 323-3, le fait de reproduire frauduleusement les données que ce système contient entraîne cette fois jusqu’à cinq ans d'emprisonnement et 150 000 euros d'amende pour la personne reconnue coupable. D’ailleurs, un éditeur qui, sans s’armer de motif légitime, propose des solutions d’espionnage « conçues ou spécialement adaptées » pour commettre ces deux dernières infractions pourra être puni « des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ».
Commentaires (49)
#1
Comme les armes à feu, on à le droit de les achetés, mais pas de faire sauter le caisson des voisins ou braquer une banque.
" />
#2
Je pense qu’il manque un point de lecture important de l’article Article 706-102-1 “sans le consentement des intéressés” car au début je me suis dit que les outils de capture d’écran pourraient être interdits.
Merci Marc, c’est toujours intéressant de connaître les fondamentaux juridiques.
Par contre est ce que l’utilisation est interdite ? Je retrouve bien la vente etc… mais est ce que le terme “détention” le couvre ?
Edit: oops, relecture du dernier paragraphe :)
#3
Ils parleraient d’orientation sexuelle, ce serait déjà moins violent, mais utiliser c’est argument négativement est condamnable.
#4
Et dans le cas d’un parent qui installe une outil de ce genre sur la machine de ses enfants (mineurs), il se passe quoi ?
A part le fait que le parent en question à une drole de conception de l’éducation, bien entendu
#5
Merci pour cet article riche en informations.
Petite question : “les dispositifs techniques (…) spécifiquement conçus pour, sans le consentement des intéressés, accéder aux données informatiques, les enregistrer […]”
Pour reprendre l’exemple de la publicité utilisée par FireWorld, qui s’adressait du coup plutôt aux parents, si les intéressés en question sont mineurs et donc sous la responsabilité légale des parents, l’argument du consentement des intéressés (donc le/les adolescent(s)) est-il quand même applicable ?
Edit :
#6
Quand la NSA espionne l’état français, il se passe quoi?
#7
La NSA n’est pas soumise à la législation française il me semble
#8
#9
#10
C’est clair, la zoophilie et la nécrohilie aussi limitent les chances d’avoir des petits-enfants.
De toute façon, savoir que son fils est homosexuel n’est qu’une partie du problème. Il faudrait aussi que ça permette de savoir s’il est juif, communiste et franc-maçon en même temps.
Non sérieusement, même en mettant “orientation sexuelle” pour moi c’est tout aussi inacceptable, ça ne fait aucune difference : c’est une intrusion dans la vie privée, point.
#11
Il me semble, pour remonter dans l’historique d’avant internet et tout le bazar, que c’est au moins équivalent à lire les lettres (courrier papier) de ses enfants.
#12
Le droits de l’enfant garantissent le respect de la vie privée d’un mineur. Il est donc illégale de l’espionner a son insu.
#13
merci, je me posais la même question
" />
#14
Et une fois qu’on sait que son enfant est homosexuel, grâce à leur merveilleux logiciel, ça avance à quoi dans l’histoire d’avoir des petits enfants ? Parce que la seule solution que je vois, c’est faire un enfant de plus, attendre, espionner, et répéter l’opération jusqu’à avoir un enfat qui ne montrera pas de signe d’homosexualité
" />
(Sans parler du fait qu’on peut être homo et avoir des enfants, et hétéro et ne pas en avoir… zut, mal pensé leur soft, il aurait dû permettre de détecter les signes d’intérêts envers le VHEMT)
#15
Est-ce qu’un enfant peut porter plainte contre son père qui le viole ?
Heureusement, oui ! Si t as une infraction, aucune raison de ne pas pouvoir agir.
La seule immunité familiale qui me vienne en tête, c’est pour un vol.
#16
Est-ce que avoirs des petits enfants et vraiment essentiels dans notre vie?
" />
#17
#18
Ben, c’est logique voyons, on l’envoie en camp de rééducation, on le fait soigner par des psychologues à grands coups de medicaments, etc.
La question est de savoir, si ça ne marche pas est-ce qu’on le force à se reproduire ou est-ce qu’on le met au rebut en considérant qu’il a des gènes défaillants ?
Faut pousser leur logique jusqu’au bout hein ;) (je précise que l’ensemble de mes propos n’est que pure ironie, on ne sait jamais…)
#19
#20
#21
C’est juste que le droit de l’enfant oblige le parent a prévenir son gamin de ses méthodes de surveillance. Dans le cas contraire un enfant a théoriquement le droit de porter plainte si il estime que son droit a la vie privée n’est pas respecté. Pas la peine de préciser que nous voyons rarement des enfants se plaindre de se genre de choses.
Cela n’empêche pas que le devoir d’éducation des parents doit se faire dans le stricte cadre des droits de l’enfant. Ca suppose donc des parents responsable puisque l’enfant va rarement faire valoir ses droits.
#22
J’ai malgré tout une réserve s’agissant de l’usage (inacceptable) mis en avant par le logiciel cité.
Si la convention internationale des droits des enfants affirme que l’enfant doit bénéficier du droit au respect à la vie privée, au nom de l’exercice de l’autorité parentale la Jurisprudence n’a (à ma connaissance) jamais reconnu que le parent qui exerce son droit de surveillance à l’égard de son enfant violait la vie privée de son enfant (sauf émancipation de ce dernier etc…).
Aussi, si du coté du vendeur l’infraction est sans doute constituée (celle de créer le soft afin de permettre cette intrusion), les parents qui en font usage “contre” leurs enfants pourraient s’en sortir sans mal.
#23
#24
Pour quel motif impliquant l’autorité ?
#25
#26
#27
Je vais caricaturer un parent utilisant ce logiciel espion:
“Je l’ai espionné pour “son” bien, il fallait agir pour que… enfin vous savez quoi.”
#28
#29
#30
#31
#32
#33
Enfin concrètement, on monte ce truc de “votre fils est-il homosexuel” en épingle, mais pour ce que ça va représenter …
Sinon, c’est pas parce qu’il n’y a pas d’arrêts qu’on ne peut pas construire un raisonnement et tenter le coup.
#34
#35
Après, c’était une réponse aux interrogations sur la faisabilité. Sur l’opportunité, chaque dossier est unique ! Il peut quand même y avoir un côté cathartique.
#36
Heureusement que je ne suis pas en France, parce que je fais régulièrement du tracking des employés de l’entreprise où je bosse (début de session, idle, fin de session, logiciels utilisés, combien de temps, page internet visitées, etc…) avec génération de rapports chiadés de productivité/utilisation.
" />?
" /> .
L’outil que j’utilise est vraiment invisible pour les utilisateurs, il n’y a même pas besoin d’aller sur le poste. Tout se fait à distance (install, logs, updates, deinstall), du moment que l’ordi soit allumé, session ouverte ou pas. Les process sont invisibles dans le TaskManager et les services, l’exe est renommable, rien n’est trappé par le pare-feu, antivirus (Essentials, Kaspersky, Eset, Trend) et autre suites de «sécurité» que j’ai essayés.
Quand bien même un utilisateur trouverait le logiciel-espion, il ne peut pointer personne car ça va d’abord à l’extérieur en chiffré : il n’y a pas de serveur local.
Bref comment reprocher quoi que ce soit quand on ne peut pas identifier le profiteur
Le procédé est d’une efficacité redoutable, totalement immonde moralement, et en plus, il est plus abordable que n’importe quel service cloud actuel (365, drives cloud de tout poil, antivirus,etc…), car dans sa version basique, il est gratuit
#37
#38
Si je ne te confonds pas avec un autre, tu es au Canada, non ? Législation différente du coup ;)
" />
Par ailleurs, ce que tu fais (mesurer de la productivité, fondamentalement) serait parfaitement légal en France si les utilisateurs sont explicitement prévenus
#39
#40
#41
#42
#43
Et pour la question de l’espionnage, il n’y en aura pas, le proxy sera sur raspberry et j’en ai ma claque de cramer la SD avec des logs ^^
#44
#45
#46
Le proxy c’est une interdiction. Bon courage avec ça, l’effet est pire je pense. Je préfère expliquer pourquoi. Ma fille au début trouvait ça injuste. Mais au final elle s’y est fait.
Euh non, le proxy c’est (dans ce cas) un filtre.
Je doute que tu sois en mesure de contrôler 7j/7 24h/24 que ta fille ne va pas consulter un truc inquiétant ou plus simplement qu’elle a pas un autre compte que celui dont les identifiants ont été créés en ta présence.
Le proxy pour un jeune ado permet d’éviter on moins des surfs sur des pages inopportunes et d’interdire certains services… En revanche, une fois que le service est accessible, l’ado peut avoir 36 comptes on ne peut pas le savoir (sauf à tomber dans l’espionnage ce qui est un non sens).
A l’inverse et en fonction de l’évolution en âge, j’ouvre au fur et à mesure des demandes avec la démarche d’explication que j’exposais un peu plus haut et comme deal “tu te mets pas en danger”. (Et je ne demande pas l’id des comptes car je ne suis pas dupe, l’ado ira s’en créer un autre dès que j’aurai les yeux tournés)
#47
J’ai téléchargé l’article complet du R-226 et effectivement, ça pique pas mal au porte-feuille : 300 000 Euros d’amende si on est pris avec un ‘outil’ d’espionnage …
" /> Bon, c’est le maxi mais quand même, va falloir que je sois vigilant … 
" />
" />
Mais c’était écrit dans la niouze DSL
#48
@ Poppu 78
@ razibuzouzou
@ Psn00ps
#49
Je rajouterais, que l’usage d’un logiciel de ce genre ne plaît guère, tout ce qui passe par les réseaux est une source potentiellement nuisible, un vrai cloaque pour ne pas faire ou faire le bien (c’est plus rare), tout y est. L’Homme dans ses mentalités mesquines peut être celui qui aime le plus détruire et faire mal.
" />
" />
Il est vrai que Vidéo-Surveillance ou Vidéo-Protection est du même registre que le logiciel cité. Je crois que précédemment je m’orientais plus vers la protection. Désolé d’avoir occulté ce problème et que vous ayez pris des directions différentes mais semblable pour me secouer.