La preuve numérique peut englober plusieurs types de documents qui se superposent: les preuves laissées sur le disque dur, celles disséminées au hasard du réseau, celles envoyées à notre insu aux sites que l’on visite, celles envoyées de notre plein gré, celles qui sont archivées.

Ainsi, après avoir fait état du problème entourant les réseaux ouverts, nous nous dresserons une typologie des modes de preuve créées.

Réseaux ouverts et preuve numérique

Le véritable débat au sujet de la preuve électronique est de savoir si elle doit être considérée comme plus fiable que la preuve littéraire, par écrit. Le droit de la preuve numérique est né en France avec la carte bancaire. Le code à quatre chiffre ou code PIN[1] tenant lieu de signature manuscrite. L’utilisation du code secret a été jugée si sûre que ce type de protection a été choisi en France pour le déclenchement de la force de frappe nucléaire[2]. L’article 4-1 d’une recommandation de la Commission des Communautés européennes du 17 novembre 1988 concernant les systèmes de paiement instaure une présomption d’abandon imprudent de son code d’accès par son titulaire en cas d’utilisation de la carte par un fraudeur à l’aide du code PIN. Cela exonère la banque de toute responsabilité. L’émergence des réseaux ouverts a engendré la nécessité d’une réforme majeure.

Le Code civil a consacré aux articles 1316-1 et suivants les effets de la dématérialisation de la société en insérant plusieurs dispositions en apparence révolutionnaires, destinées à reconnaître l’écrit électronique et la signature du même genre[3]. En cas de conflit entre différentes preuves, l’article 1316-2 du Code civil établit que:

« Lorsque la loi n’a pas fixé d’autres principes et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable quel qu’en soit le support. »

La charge de la preuve reste donc la question centrale qui vaut tout aussi bien dans le cadre de la cryptographie que de la biométrie. Le législateur de l’an 2000 s’est arrêté en cours de route, en laissant peser la charge de la preuve, dans le cas du commerce en ligne, sur celui qui n’est pas le maître du système d’information.

Typologie des modes de preuve

Les preuves et traces laissées sur les réseaux numériques n’obéissent à aucune hiérarchie et sont même parfois générées à l’insu de l’internaute (Paragraphe I), même si l’utilisateur dépose lui aussi des preuves lors de ses connexions à un réseau ouvert (Paragraphe II).

I – Les preuves générées à notre insu

A – Les Cookies

« Cookie: Anciennement petit gâteau sucré qu’on acceptait avec plaisir. Aujourd’hui: petit fichier informatique drôlement salé, qu’il faut refuser avec véhémence[4]. »

Les cookies sont un élément indispensable à la navigation. Il est parfois impossible d’accéder à un site internet si l’option « accepter les cookies » n’est pas activée. Ils sont si inévitables qu’ils ont fini par nous apparaître comme des utilitaires innocents. Très récemment, il a été mis à jour que les sites gouvernementaux américains, tels que la CIA, la NSA, avaient pisté les internautes connectés à leurs sites internet, en utilisant des cookies permanents.

Les cookies sont des fichiers-texte envoyés sur le disque dur de l’internaute par le serveur auquel il se connecte et permettent, par exemple, de l’identifier lors d’une nouvelle visite. Ces cookies sont considérés comme des fichiers espions, leur objet est bel et bien de collecter des informations sur le comportement en ligne. Les cookies envoyés par les sites gouvernementaux américains étaient permanents, ceci leur était pour autant strictement interdit dans le cadre d’une loi de 2003[5]. Ces cookies avaient été paramétrés par une société commerciale de surveillance du Web, dénommée Web Trends. Parmi les clients de celle-ci figure le groupe Hilton. Une enquête a été ouverte afin de savoir si les cookies ont pu mettre en corrélation les visites des internautes sur d’autres sites internet, notamment commerciaux. Il est évident que le croisement de ces informations permettrait de faire des études comportementales très poussées sur telle personne, identifiée par son cookie.

Ce dernier peut enregistrer l’adresse IP[6] de l’ordinateur qui, si elle est fixe[7], donne l’origine géographique de la personne, le système d’exploitation, le nom donnée à la machine à voir, l’heure de la connexion et sa durée, les pages visitées, les mots de passe et les login utilisés sur le site… et ce à chaque nouvelle visite.

Il ne s’agit pas ici de déterminer le cadre juridique du cookie en tant que moyen de collecter une information nominative ou pas. Il est évident, qu’utilisé dans le commerce, le cookie collecte des informations nominatives dès lors que l’on est enregistré comme utilisateur habituel ou qu’on a donné notre numéro de carte bleue à la fin d’une transaction. Il faut rappeler que l’information nominative suivant l’article 4 de la Loi Informatique et Libertés est celle qui permet:

« Sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques. »

Le consommateur ne peut pas échapper au cookie. Sans lui, il n’y a pas de navigation sur la plupart des sites internet. Il est, par ailleurs, surprenant que la CNIL n’ait jamais considéré le cookie comme l’ennemi de la vie privée. Elle exige simplement la mention d’un avertissement préalable dans les conditions générales du site. Concernant le droit d’acceptation du cookie, rien n’a été dit par le législateur.

B – Les traces laissées par le serveur

Tous les serveurs d’une entreprise connectés à l’internet conservent des traces des connexions des salariés. On peut conserver[8] un certain nombre d’informations telles que le nom de l’hôte de destination, les octets envoyés, le journal de connexion, les ports de destination et bien entendu, les adresses IP des sites consultés.

Par exemple, dans l’affaire Lucent contre la société d’autoroutes Escota[9]un salarié de la société Lucent qui avait mis en ligne un site internet injurieux et diffamatoire, déguisant la marque Escota en Escroqua et ayant contrefait le logo de la société d’autoroutes, s’était connecté de son poste de travail dans l’entreprise pour mettre en ligne son site. Il a laissé toutes ces traces sur le serveur de Lucent. Ces données ont permis de l’identifier comme auteur de l’infraction.

II – Les traces envoyées de notre plein gré

C’est dans le cadre du commerce en ligne que ce type de preuve est le plus important. En effet, le consommateur est en situation de faiblesse par rapport à la conservation de la preuve. Par exemple, le cyber-commerçant en ligne doit indiquer le jour de conclusion du contrat électronique et laisser ce document à la disposition du consommateur. Le moment de conclusion du contrat constitue le point de départ du délai de livraison. Le consommateur a deux, voire trois, possibilités de conservation de la preuve. Il ne peut qu’imprimer le document contractuel en ligne, l’accusé de réception envoyé par courriel, ou faire des captures d’écran, c’est-à-dire sauvegarder des images numériques.

Néanmoins, le commerçant est tenu, au titre de l’article 1369-2 du Code civil, introduit par la Loi pour la Confiance dans l’Économie Numérique[10] d’envoyer un accusé de réception sous la forme d’un courrier électronique. Cependant, face aux difficultés rencontrées par le consommateur avec les commerçants en ligne, il serait nécessaire de constituer une véritable preuve numérique. En réalité, le consommateur doit se reposer sur des preuves plus traditionnelles: impression d’écran, relevé bancaire, à défaut de pouvoir utiliser une véritable signature électronique.

 Imprimer cet article