Personne ne lit les conditions générales d’utilisation. Heureusement, ZDNet.com s’est penché sur celles du tout nouveau service de stockage de Google et les a comparées à celles de ses deux principaux concurrents : Dropbox et SkyDrive de Microsoft.Et le moins que l’on puisse dire est que Google Drive garde une approche plutôt obscure du traitement des données qu’il collectera. Voici les différentes CGU des trois services de stockage :

Dropbox

« Vos effets et votre vie privée : En utilisant nos Services, vous nous fournissez les informations, fichiers et dossiers que vous envoyez à Dropbox (collectivement désignés sous l’appellation « vos effets »). Vous conservez l’entière propriété de vos effets. Nous ne revendiquons aucun droit de propriété de vos effets. Les présentes Conditions ne nous accordent aucun droit sur vos effets ou votre propriété intellectuelle, à l’exception des droits limités requis pour l’exécution des Services, comme cela vous l’est expliqué ci-après. »

Sky Drive

« 5. Votre contenu : À l’exception des documents que nous vous avons concédés sous licence, nous ne revendiquons pas la propriété des documents que vous publiez ou fournissez sur le service. Vous restez seul propriétaire du contenu. Nous ne procédons à aucun contrôle ni à aucune vérification concernant le contenu que vous et d’autres personnes mettez à disposition sur le service et nous n’assumons aucune responsabilité concernant ces contenus. »

Plus loin, on peut néanmoins lire : « Vous reconnaissez que dans la cadre de la fourniture du service, Microsoft est susceptible d’utiliser, de modifier, d’adapter, de reproduire, de distribuer et d’afficher le contenu publié sur le service, et vous autorisez Microsoft à effectuer ces opérations ».

Google Drive

« Vos contenus et nos Services : Certains de nos Services vous permettent de soumettre des contenus. Vous conservez tous vos droits de propriété intellectuelle sur ces contenus. Ce qui est à vous reste à vous.

En soumettant des contenus à nos Services, par importation ou par tout autre moyen, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d’utilisation, d’hébergement, de stockage, de reproduction, de modification, de création d’œuvres dérivées (des traductions, des adaptations ou d’autres modifications destinées à améliorer le fonctionnement de vos contenus par le biais de nos Services), de communication, de publication, de représentation publique, d’affichage ou de distribution public desdits contenus.

Les droits que vous accordez dans le cadre de cette licence sont limités à l’exploitation, la promotion ou à l’amélioration de nos Services, ou au développement de nouveaux Services. Cette autorisation demeure pour toute la durée légale de protection de votre contenu, même si vous cessez d’utiliser nos Services (par exemple, pour une fiche d’entreprise que vous avez ajoutée à Google Maps). »

On peut donc retenir deux choses de ces termes. D’une part Google affirme clairement, dès l’entame du sujet, que vous restez propriétaire du contenu que vous déposez sur son service. D’autre part, le géant de Moutain View se garde le droit d’utiliser ces données afin d’améliorer ses services… Une formulation volontairement vague qui ne définit pas précisément les limites de l’exploitation de vos données.

Même chose chez Microsoft qui s’arroge le droit d’utiliser ou de modifier les contenus stockés.

Il reste cependant peu probable que Google prenne l’initiative d’exploiter davantage les fichiers déposés par ses utilisateurs que ses concurrents. Les curieux qui auront pris le temps de s’attarder sur ces CGU pourraient néanmoins, décider de ne pas se rabattre sur Google pour rejoindre le cloud.

Sources : ZDNET

Quelques termes

• copyleft : (traduction française : gauche d’auteur) principe général imposant que les versions modifiées d’un programme libre doivent aussi être des logiciels libres,
• héréditaire : propriété d’un type de licence. Les développements réalisés à partir d’un logiciel sous ce type de licence doivent être diffusés sous cette même licence,
• contaminante : propriété d’un type de licence. Lorsqu’un développement quelconque est intégré à un autre logiciel sous ce type de licence, le résultat doit être diffusé sous cette licence.

GPL (General Public License)

En français Licence Publique Générale. Licence créée par la FSF (Free Software Foundation), également à l’origine de GNU, qui impose :

• la liberté d’exécuter le logiciel pour n’importe quel usage
• la libre disposition du code source
• liberté de modifier le logiciel
• la liberté de distribuer des versions modifiées
• que les versions modifiées d’un programme doivent aussi être des logiciels libres (copyleft).

La GPL a donné naissance à une version moins restrictive, la LGPL (voir ci-dessous). La valeur juridique de la GPL a fait l’objet de discussions en France, notamment en raison de l’absence d’une traduction officielle.

LGPL (Lesser GPL)

En français Licence Publique Générale Limitée. C’est une variante assouplie de la GPL, essentiellement axée sur l’utilisation de bibliothèques de développement. Elle autorise des programmes non libres à utiliser une bibliothèque GPL.

MPL (Mozilla Public Licence)

Licence logicielle open source créée par le projet Mozila. Elle impose notamment que les modifications apportées soient aussi publiées sous MPL, et restent ainsi intégrables au projet. Elle est donc incompatible avec la licence GPL.

SCSL (Sun Community Source License)

Licence spécifique, incompatible GPL, proposée par Sun pour le monde Java :

• utilisation libre des développements
• modification libre
• distribution gratuite libre
• distribution payante soumise à certification et paiement d’une redevance
• modifications utilisables par Sun.

CDDL (Common Development and Distribution License)

Licence logicielle open source créée par Sun et inspirée de la licence MPL de Mozilla. Elle permet la modification du code d’origine par un développeur tiers et la distribution de ses améliorations sans contrôle central. Les programmes créés sous CDDL ne peuvent pas être combinés avec des programmes sous GPL

QPL (Qt Public License)

Licence de la bibliothèque Qt de la société Troll Technologies, incompatible avec la GPL. Les sources modifiés ne peuvent être redistribués que sous forme de correctifs.

APSL (Apple Public Source License)

Licence utilisée par Apple pour les développements sous Darwin. L’APSL 2.0 a été reconnue comme une licence libre par la FSF, mais incompatible avec la GPL car elle n’est pas un vrai copyleft (elle autorise des liens avec d’autres développements qui peuvent être entièrement propriétaires). Les versions 1.0, 1.1, et 1.2 ne sont pas considérées comme des licences de logiciel libre.

Licence Apache

Licence simple et permissive de logiciel libre sans copyleft.

Licences BSD

Les licences BSD ou X sont les licences libres les plus anciennes et les plus courantes. On les retrouve dans de nombreux projets et, notamment, dans les BSD libres (FreeBSD, OpenBSD, NetBSD…). Elles sont très simples. Elles autorisent notamment l’intégration de développements provenant de ces licences dans des applications propriétaires moyennant quelques restrictions comme l’obligation de mentionner ce fait dans la documentation. Microsoft et Apple y ont notamment fait quelques emprunts.

CeCILL (CEa Cnrs Inria Logiciel Libre)

Première licence libre française créée à l’initiative du CEA, du CNRS et de l’INRIA, elle transpose l’esprit de la GPL en droit français. Elle protège l’auteur du développement, à la fois en restreignant sa responsabilité civile vis-à-vis de l’utilisateur (qui, lui, ne bénéficie que d’une garantie limitée) et offre au regard du droit de la propriété intellectuelle français, une meilleure protection des ayants droit.

Quelles sont les règles à appliquer ?
Quels sont les risques encourus ?
Quelles formalités faut il faire ?

Tous ces points sont évoqués dans ce guide de la CNIL : télécharger ici

Petit bémol : le relevé des connexions des sites visités par le salarié sera inopposable à ce dernier si l’employeur n’a pas pris la précaution d’en informer préalablement la Cnil (Commission nationale de l’informatique et des libertés), cette obligation ne s’imposant à lui que dans le cas où il n’a pas désigné de correspondant Informatique et libertés. La raison est simple : « Les informations recueillies par l’employeur comprennent des données personnelles, notamment l’adresse IP de l’ordinateur, explique Pierre Fargeaud, avocat au barreau de Limoges. L’employeur doit donc déclarer à la Cnil l’existence du logiciel qui permet d’analyser les données de connexion ou de calculer le temps passé sur Internet par le salarié. » Sans oublier, bien sûr, d’en informer l’intéressé…
Autre preuve susceptible d’appuyer un licenciement : la production des journaux de connexion générés automatiquement par les serveurs. Il ne s’agit pas, dans ce cas, de mettre sous surveillance le poste d’un salarié mais de surveiller les flux, ce qui implique néanmoins la récupération de données telles que la date et l’heure des connexions, les adresses IP nominatives, les pages consultées, les actions réalisées par telle ou telle personne… L’employeur est donc invité à faire une déclaration simplifiée auprès de la Cnil (n°46), outre son obligation d’information des salariés concernés (loi du 6 janvier 1978).

La preuve par les relevés téléphoniques

Les salariés disposent néanmoins d’une arme efficace pour riposter face à une mesure de licenciement fondée sur ce système : ils mettent l’employeur au défi de démontrer que c’était bien eux qui se trouvaient devant tel ordinateur. En effet, le système permet d’identifier un ordinateur et non une personne, au même titre que la plaque d’immatriculation désigne un véhicule. « Les employeurs s’en sortent avec des faisceaux d’indices tels que l’utilisation de mots de passe personnels d’accès au réseau, l’absence d’utilisation partagée de l’ordinateur ou encore les heures d’envoi des e-mails proches des heures de connexion », précise Me Fargeaud.

Autre cas de figure, si l’entreprise met en place un logiciel destiné à réaliser des statistiques sur l’utilisation d’Internet au niveau de l’ensemble des salariés de l’entreprise ou au niveau d’un service déterminé, ce dispositif doit aussi passer par la case d’une déclaration à la Cnil. « Pour limiter les risques et anticiper les difficultés, l’employeur a tout intérêt à informer le CE (comité d’entreprise), le CHSCT (comité d’hygiène, de sécurité et des conditions de travail) et les salariés (par le biais d’une charte) de l’existence de ces procédures de contrôle », conseille Me Fargeaud. A fortiori lorsqu’il souhaite utiliser les données à titre de preuve.
Un fichier téléphonique peut, comme le listing de connexions internet, être utilisé pour démontrer qu’une personne a abusé du téléphone de l’entreprise. Des salariés ont déjà été licenciés sur ce fondement. Comme un journal de log, le standard téléphonique de type PABX enregistre des données personnelles. L’employeur doit donc effectuer la déclaration simplifiée n° 47 et respecter certaines préconisations de la Cnil. « Les quatre derniers chiffres des numéros doivent être occultés, recommande la Commission. L’employeur ne peut accéder aux numéros complets des relevés individuels que de façon exceptionnelle, par exemple en cas d’utilisation manifestement anormale du téléphone par un salarié. Par ailleurs, un salarié doit avoir accès aux numéros de téléphone complets composés depuis son poste téléphonique, notamment lorsqu’il lui est demandé de rembourser le coût des communications téléphoniques présumées personnelles. »

1. Le premier d’entre eux porte sur la compétitivité numérique, où la France ne maximalise pas suffisamment ses atouts. « Le numérique représente 3,2 % du PIB français et 25 % de la croissance de ce PIB. Le numérique est donc un axe de développement essentiel dans une période où l’on va chercher la croissance avec les dents », explique Gilles Babinet, qui par ailleurs, déplore qu’il y ait aujourd’hui « de 30 000 à 70 000 offres d’emploi non pourvues dans les industries du numérique ».
2. Deuxième chantier : l’open data, un domaine où là encore, la France affiche un retard par rapport à des pays comme le Royaume-Uni, la Nouvelle-Zélande ou la Suède. Selon la CNNum, la diffusion des données publiques à tous les échelons administratifs créera de nombreuses opportunités économiques, tout en améliorant la vie démocratique.
3. Enfin, le troisième sujet concerne l’e-education. Le CNNum se dit convaincu que l’usage des nouvelles technologies peut être un remède à l’échec scolaire en France, où 19 % des enfants sortent de l’école primaire sans maîtriser la lecture et l’écriture. « En Inde, par exemple, ils mettent en place des outils performants dans leurs écoles qui mériteraient d’être examinés de près », affirme Gilles Babinet.

Sur ces trois dossiers stratégiques, le CNNum publiera ses conclusions d’ici au début de l’année 2012.

Sources : 01net

Pilotés par les membres du Collège ou de la Commission de protection des droits de l’Hadopi, au nombre de cinq, ils seront conduits en coopération avec les « Labs ». Ces chantiers visent à consolider et élargir les résultats d’ores et déjà obtenus par l’institution dans les domaines de la transparence et de la compréhension des questions liées au téléchargement illégal et les offres légales d’œuvres sur internet.

Les cinq chantiers sont :

1. Etudes relatives aux pratiques de partage et au panier moyen des foyers.
2. Rapport sur l’exercice effectif des exceptions.
3. Agenda « Open Data ».
4. Ingéniérie et coopération institutionnelles.
5. Economie des dispositifs de lutte contre le téléchargement illégal.

La « Licence Ouverte / Open Licence » présente les caractéristiques suivantes :

Une grande liberté de réutilisation des informations :

Une licence ouverte, libre et gratuite, qui apporte la sécurité juridique nécessaire aux producteurs et aux réutilisateurs des données publiques ;
Une licence qui promeut la réutilisation la plus large en autorisant la reproduction, la redistribution, l’adaptation et l’exploitation commerciale des données ;
Une licence qui s’inscrit dans un contexte international en étant compatible avec les standards des licences Open Data développées à l’étranger et notamment celles du gouvernement britannique (Open Government Licence) ainsi que les autres standards internationaux (ODC-BY, CC-BY 2.0).

Une exigence forte de transparence de la donnée et de qualité des sources en rendant obligatoire la mention de la paternité.

Une opportunité de mutualisation pour les autres données publiques en mettant en place un standard réutilisable par les collectivités territoriales qui souhaiteraient se lancer dans l’ouverture des données publiques.

> Retrouvez plus d’informations sur la « Licence Ouverte / Open Licence

Le rapport évoque la campagne d’information de la Hadopi.

Dans ce document de 148 pages, l’organisme chargé de mener la riposte graduée contre le piratage sur Internet fait le bilan de 18 mois de travaux, depuis sa mise en place au début de 2010. « Les conditions dans lesquelles s’est conduit ce travail sont inédites : rarement nouvelle institution s’est trouvée confrontée au refus opposé par certains, qu’ils soient politiques, fonctionnaires, chercheurs ou encore membres de la société civile, de travailler avec elle. Et nombre de commentaires ont révélé une méconnaissance totale de l’institution et de son action », regrette en préambule du rapport Marie-Françoise Marais, la présidente de la Hadopi.

Ce long rapport ne contient pas de surprise. Parmi les nombreux sujets évoqués (voir l’encadré en bas de page), voici quelques éléments saillants.

71 000 saisines par jour

– En moyenne, depuis septembre 2010, 71 613 saisines sont transmises chaque jour par les ayants droit à la commission de protection des droits (CPD) de la Hadopi. D’octobre 2010 à juin 2011, la Hadopi a reçu 18,4 millions de constats. Ils ont donné lieu à 1 million de demandes d’authentification auprès des fournisseurs d’accès à Internet, avec un taux de retours de 89 %.

– Entre octobre 2010 et juin 2011, 491 533 recommandations ont été envoyées aux internautes, dont 470 935 pour la première fois et 20 598 rappels. La Hadopi indique avoir eu 35 000 échanges (par courrier ou par téléphone) avec les internautes, dont 76 % concernant des demandes de détails sur les œuvres en cause.

– En ce qui concerne la transmission de dossiers d’internautes à la justice, la Hadopi indique que, « courant juin 2011, la commission [de protection des droits] a examiné les premiers dossiers pour lesquels elle est saisie de réitérations après l’envoi d’une deuxième recommandation », et précise qu’elle « doit délibérer sur chaque dossier individuellement pour décider ou non de sa transmission au procureur de la République ». Les saisines seront peu nombreuses, selon elle. En juillet dernier, la Hadopi déclarait n’avoir encore transmis aucun dossier d’internaute au procureur.

42 300 visiteurs uniques sur hadopi.fr

– 19 offres légales avaient obtenu le label Hadopi, au 30 juin ; 14 d’entre elles ont subi des objections.

– Les fournisseurs d’accès à Internet et les sociétés de gestion de droits n’ont pas contribué aux deux consultations publiques sur les spécifications des moyens de sécurisation des accès à Internet.
– Le centre d’appel de la Hadopi a reçu depuis septembre 2010 26 400 appels, dont 80 % de la part d’internautes ayant reçu une recommandation (authentique dans 99 % des cas). Hadopi.fr accueille en moyenne 42 300 visiteurs uniques chaque mois. L’autorité rappelle qu’il a subi des attaques par déni de service à trois reprises, mais confirme ne pas souhaiter mettre en place de défense particulière. Pur.fr, le site consacré au label des offres légales, en comptabilise 15 000.
– Pour 2011, la Hadopi s’est vu accorder une subvention de 11 millions d’euros (1). Elle a perçu 10 millions en 2010. Elle a déboursé 1,4 million en charges de personnel et 1,6 million en charges de fonctionnement. Elle occupe 1 000 mètres carrés de locaux dans le 14e arrondissement de Paris, pour un loyer annuel de 463 000 euros.

Des difficultés pour recruter

Le rapport de la Hadopi révèle aussi que le prix de sa campagne d’information a été fortement négocié, et celle-ci a de fait « pu bénéficier d’une exposition nettement supérieure à ce qu’aurait traditionnellement permis le budget qui lui a été dédié ». Mais elle ne donne pas de chiffre sur le coût de l’opération. « Les réactions à la campagne ont montré et confirmé la nature très clivée des publics de la Hadopi. »

L’institution comptait cinq agents en mars 2010 et en emploie désormais 59 (en CDI, en CDD ; des fonctionnaires et des magistrats mis à disposition). Elle prévoit un effectif de 70 personnes fin 2011. Elle confie avoir connu « des difficultés pour recruter ses agents. Depuis sa création, la Haute Autorité ne bénéficie pas d’une image positive, et ses postes ont régulièrement fait l’objet de dénigrements ». Et de donner un exemple : « A l’été 2010, lors du recrutement du community manager des Labs, a été lancé un concours pour le “pire job du Web”. Une vidéo, probablement publiée par plaisanterie, a même circulé menaçant physiquement le futur agent de la Haute Autorité. Des candidats se sont désistés en cours de procédure. »
La Hadopi donne d’ores et déjà rendez-vous en juin 2012 pour un nouveau bilan de son activité.

Source : 01net

Dans un arrêt du 21 septembre 2011, la Cour de cassation a estimé que la consultation par un salarié, depuis son poste de travail, de nombreux sites « d’activité sexuelle et de rencontres » mais aussi d’un site destiné au téléchargement d’un logiciel permettant d’effacer les fichiers temporaires du disque dur constitue un manquement grave à ses obligations découlant de son contrat de travail.

L’employeur de cet agent d’exploitation avait déduit que ce dernier s’était rendu sur ces sites en établissant une correspondance entre le tableau de permanences de cet employé et la liste des sites internet vus depuis l’ordinateur de l’agence. Il était, en effet, seul présent sur le lieu de travail aux heures de consultation.
Si la Cour de cassation a déjà reconnu que le fait de passer trop de temps sur des sites de « charme » pendant les heures de travail pouvait constituer une faute grave, elle ne s’était pas prononcée sur le fait d’installer un logiciel permettant d’effacer les fichiers temporaires du disque dur. Il semble que les magistrats aient voulu condamné la volonté de dissimulation du salarié, qui ne s’est pas contenté de supprimer ses traces de connexion de l’historique de son navigateur.

Sources : Legalis

Des garanties sur la conservation des données

C’est une faille que ne possède pas le second procédé d’identification. Le salarié enregistre une image de son réseau veineux dans le système d’identification, qui créera un gabarit unique attaché à cette personne. Celle-ci n’aura plus qu’à présenter son doigt sur le capteur pour être identifiée. Un élément qu’il est impossible de reproduire pour berner le système de contrôle.

L’entreprise a opté pour le stockage des données dans le lecteur biométrique, et non sur un serveur, ainsi qu’un chiffrement dit « fort » avec une clé spécifique à chaque lecteur. Elle a aussi mis en place un système de protection physique des composants, et toute tentative d’accès au lecteur fait l’objet d’un signalement.
Ces mesures ont donc été jugées suffisantes par la Cnil. Laquelle veille à ce que les conditions de stockage des données des salariés offrent toutes les garanties nécessaires pour en assurer la confidentialité.

Source : 01net