La sécurité informatique dans les conditions générales d’utilisation (CGU)

Qui lit les conditions générales d’un site internet ? Peu de personnes sans doute. Toutefois, l’opposabilité de ce document contractuel est nécessaire. À défaut, le site internet pourrait être démuni si un de ses clients (ou abonnés) venait à déroger aux règles fixées dans les conditions générales. Ainsi dans un arrêt de la 1ère chambre civile de la Cour de cassation du 31  octobre 2012  (1). Le pourvoi de la société Métropole télévisions avait été rejeté au motif (entre autres) que l’on ne peut opposer à un internaute des Conditions Générales d’Utilisation (CGU) d’un site sur lequel il a un accès libre et direct aux pages consultées sans prise de connaissance ni acceptation préalable (sous-entendu par un acte positif) de celles-ci (2). Leur simple mise en ligne “ne suffit pas à mettre à la charge des utilisateurs des services proposés une obligation de nature contractuelle”. Les Conditions Générales d’Utilisation d’un site internet restent un outil de prévisibilité et de sécurité juridique des relations entre un commerçant et son client. De plus, de nombreuses affaires judiciaires ont défrayé la chronique en ce qui concerne la sécurité des données à caractère personnel des abonnés d’un site internet, cet aspect étant avant tout celui que retiennent les PME pour penser leurs mesures de sécurité informatique. Ainsi Ricard a-t-elle fait les frais d’un contrôle en ligne de son site Web par la CNIL. Cette dernière a prononcé un avertissement public à l’encontre de la société Ricard après avoir constaté que l’existence d’une sous-traitance (hébergement et gestion du site) n’exonérait pas ladite société de ses obligations légales liées à la sécurité et la confidentialité des données (3). Cette délibération qui se fonde sur l’article 34 de la Loi Informatique et Libertés impose, en effet, la sécurité et la confidentialité des données en ce qu’il dispose que “le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès”. Tout manquement à ces obligations pourra être sanctionné par la CNIL et même pénalement conformément à l’article 226-17  du Code pénal qui dispose que “le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34  de la loi n° 78-17  du 6  janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende”. On notera enfin que les Conditions Générales d’Utilisation du site intègrent fréquemment des clauses relatives à l’accès au compte (lorsqu’un tel compte est créé). Dans cette hypothèse, l’utilisation du service nécessite une inscription préalable (login, mot de passe, adresse e-mail). Le rédacteur des conditions générales devra, de ce fait, veiller à recommander à l’internaute d’utiliser un mot de passe d’une longueur suffisante et avec des caractères différents (signes spéciaux, majuscules, chiffres…) et de le conserver de manière secrète. Toute utilisation non autorisée de ce mot de passe pouvant être imputée au client.