Formation en droit des affaires électroniques COURS 3 – Gestion de la sécurité (2) Vincent Gautrais professeur de droit avocat
responsabilités Responsabilités existantes Responsabilités prospectives
responsabilités Hébergeur Transporteur Conservation de données Éditeur Certification Blogueur ? Paiement
responsabilités Hébergeur Définition. Régime général dexonération. Responsabilité possible dans le cas où : –il a connaissance dactivités illicites de la part des personnes hébergées par lui; –il a connaissance de circonstances qui rendent apparentes des activités illicites de la part des personnes hébergées par lui; –il na rien fait pour empêcher que des activités illicites de la part des personnes hébergées par lui soient perpétrées.
responsabilités Hébergeur 22. Le prestataire de services qui agit à titre d'intermédiaire pour offrir des services de conservation de documents technologiques sur un réseau de communication n'est pas responsable des activités accomplies par l'utilisateur du service au moyen des documents remisés par ce dernier ou à la demande de celui-ci. Cependant, il peut engager sa responsabilité, notamment s'il a de fait connaissance que les documents conservés servent à la réalisation d'une activité à caractère illicite ou s'il a connaissance de circonstances qui la rendent apparente et qu'il n'agit pas promptement pour rendre l'accès aux documents impossible ou pour autrement empêcher la poursuite de cette activité. Idem pour les référencements (moteurs de recherche)
responsabilités Transporteur (art. 36) Définition. Régime général dexonération. Son rôle se limite à une action technique. Responsabilité possible dans le cas où : –il est à lorigine de la transmission; –il sélectionne ou modifie le document transmis; –il sélectionne la personne qui transmet, reçoit ou a accès au document posant problème; –il conserve le document plus longtemps que ne lexige la transmission.
responsabilités Conservation (art. 37) Illustrations: deux situations principales : La fonction « cache » (ou antémémorisation) – La conservation de documents nécessaires à lutilisation de serveur à accès contrôlé, dIntranet (notamment pour des raisons de sécurité). Régime général dexonération. Un régime de responsabilité similaire au précédent sapplique aux prestataires de services de conservation. Responsabilité possible dans le cas où : –dans lune des quatre situations qui sappliquent à la responsabilité du transmetteur (voir plus haut); – le prestataire ne respecte pas les conditions daccès au document; –le prestataire empêche la vérification de qui a eu accès au document; –le prestataire ne retire pas promptement du réseau ou ne rend pas laccès au document impossible alors quil avait connaissancequun tel document a été retiré de là où il se trouvait initialement;quil nest pas possible aux personnes qui y ont droit dy avoir accès;quune autorité compétente en a exigé le retrait.
responsabilités Éditeurs Vieux comme la presse Mais idem à la TV EX: Choi FM 1457 CCQ –Faute –Dommage –Lien de causalité Responsabilité plus grande
responsabilités Certification (47 et s.) Obligations de lautorité de certification : –rédiger une politique de certification –rendre publique la politique de certification; –présenter des garanties dimpartialité; –inscrire promptement sur le répertoire prévu à cet effet tout certificat invalide; –assurer lintégrité du certificat. Obligations du certifié : –garder secret tout dispositif qui permet dutiliser le certificat, toute utilisation de ce dernier étant présumée faite par lui; –dévoiler à lautorité de certification tout motif qui laisserait croire que le dispositif est compromis par un tiers; –informer lautorité de certification de tout changement à son statut. Obligations du tiers : –vérifier lidentité des intervenants; –vérifier au répertoire la mise en place par lautorité de certification la validité du certificat. Répartition des responsabilités –Responsabilité non démontrée – daucun. Les parties sont toutes responsables. –Responsabilité partagée. Quelle que soit la répartition, elle est dordre public et ne peut être modifiée par contrat.
responsabilités Et que se passe-t-il avec le blogue? Qualification Qui contrôle? Vaillancourt c. Lagacé (2005)Vaillancourt c. Lagacé –Modéré -> éditeur (si possibilité raisonnable de vérifier) –Non modéré-> hébergeur Et en droit comparé? –Idem aux USA –Différent en droit français Sauf exception (recommandation du Forum des droit sur Internet)
responsabilités Blogue OK Corral à Saint-AdèleOK Corral à Saint-Adèle –Équilibre liberté dexpression / diffamation Arguments pour le blogueur –Officier public –Vérifier linvestigation du journalisme –Autorise un droit réponse Arguments pour le maire –1457 CCQ –Tendance jurisprudentielle au Québec –Responsabilité des blogues quant aux commentaires Modération Non modération
Responsabilités paiement Émetteur de carte commerçant Acheteur (consommateur)
Responsabilités paiement Banque Laurentienne du Canada c. Abdul-WahabBanque Laurentienne du Canada c. Abdul-Wahab, 2001 IIJCan 151 (QC C.S.) [45] Ceci dit, lorsque le numéro de carte est communiqué par téléphone, Internet ou autrement, sans présentation formelle de la carte, il revient au commerçant dassumer le risque de la transaction, et non à linstitution financière avec laquelle il a signé une convention de services de paiement au point de vente. En effet, les différentes étapes prévues au manuel dexploitation visent à réduire au minimum les fraudes et sont sous le seul contrôle du commerçant : présentation de la carte, signature du relevé et vérification des signatures apparaissant au relevé et à lendos de la carte. Si ces trois étapes sont remplies et si un numéro dautorisation est obtenu, le commerçant a rempli sa part du contrat et si de bonne foi[2], a droit au paiement[3].[2][3] [46] En somme, quand le commerçant prend sur lui de modifier les méthodes dexploitation, même lorsquil est de bonne foi, il doit en assumer les conséquences, car lui seul est en mesure de faire les vérifications additionnelles que peut requérir une transaction à distance et prendre les dispositions appropriées avant de remettre les biens commandés.
Responsabilités paiement Canada Inc. c. Banque Laurentienne du Canada Canada Inc. c. Banque Laurentienne du Canada, 2003 IIJCan (QC C.S.) [32] Les incidents et les manquements ont été suffisamment nombreux et importants pour justifier les craintes exprimées par les témoins entendus à l'initiative de Banque Laurentienne et l'intervention immédiate. [33] Il n'était pas nécessaire que Banque Laurentienne fasse la preuve de fraude ou de mauvaise foi de La Compagnie et de ses représentants pour justifier sa décision. Le non respect des conditions d'utilisation, même en toute bonne foi, était suffisant. [34] Le retrait du terminal constituait le seul remède dont Banque Laurentienne disposait pour se protéger et, selon la convention intervenue, elle pouvait agir comme elle l'a fait. Dans les circonstances spécifiques du présent dossier, son comportement ne constituait pas un comportement abusif.
Responsabilités - prospectif Proaction des détenteurs de RP –Rapport Canadien (2005)Rapport Canadien Option I – Truncate (partially blank out) payment card numbers Option II – Verify the identity of persons and organizations accessing credit reports Option III – Do not disclose social insurance numbers (SINs) on credit reports or use them as a unique identifier for consumers Option IV – Allow consumers to place freezes on their credit reports Option V – Require organizations that store personal information to notify individuals and credit bureaus in cases of security breaches Option VI – Require credit bureaus to place fraud alerts on consumers credit reports incases of security breaches or upon the request of an identity theft victim Option VII – Require credit lenders to disclose details of fraudulent debts to victims Option VIII – Require credit bureaus to block information about fraudulent debts appearing on a consumers credit report Option IX - Make organizations liable for damages Option X – Inform victims of their rights –Rapport anglais de la Chambre des Lords (2007)Rapport anglais