Alors, voilà ce que nous dit la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
Tout d'abord une petite définition :
Article 4
Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale.
Article 5
Est dénommé traitement automatisé d'informations nominatives au sens de la présente loi tout ensemble d'opérations réalisées par des moyens automatiques, relatif à la collecte, l'enregistrement, l'élaboration, la modification, la conservation et la destruction d'informations nominatives ainsi que tout ensemble d'opérations de même nature se rapportant à l'exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d'informations nominatives.
Bon, notre petite affaire AOL semble entrer dans le champ d'application de la loi.
Voyons ensuite les modalités pour la mise en place des systèmes de collecte :
Article 16
Les traitements automatisés d'informations nominatives effectués pour le compte de personnes autres que celles qui sont soumises aux dispositions de l'article 15 doivent, préalablement à leur mise en oeuvre, faire l'objet d'une déclaration, auprès de la Commission nationale de l'informatique et des libertés.
Cette déclaration comporte l'engagement que le traitement satisfait aux exigences de la loi .
Dès qu'il a reçu le récépissé délivré sans délai par la commission, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.
Article 17
Pour les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés, la commission nationale de l'informatique et des libertés établit et publie des normes simplifiées inspirées des caractéristiques mentionnées à l'article 19.
Pour les traitements répondant à ces normes, seule une déclaration simplifiée de conformité à l'une de ces normes est déposée auprès de la commission. Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités.
Pour être bref, AOL, qui pratique donc la collecte automatisée d'informations nominatives ( étant donné qu'ils ont clairement établi par courrier à certains de leurs abonnées leurs heures et dates de connexion, ainsi que les sites où ces mêmes personnes ont pu être connectées ) au sens de l'article 5 de la loi commentée, doit bénéficier d'une autorisation de la commission nationale de l'informatique et des libertés.
Savoir si cette autorisation doit être "simplifiée" au sens de l'article 19 de la loi, ou être une autorisation "normale" ( contrôle beaucoup plus sévère ), nous importe peu.
Ce qui nous importe c'est la question suivante :
ont-ils obtenu l'autorisation auprès de la commission pour effectuer la collecte ainsi que l'enregistrement de données auprès de leurs clients ?
J'ai compulsé le site de la CNIL, il semblerait que les autorisations, prises sous la forme de décret, soient consultables uniquement sur RDV par téléphone. Cependant, je pense qu'AOL a dû faire cette demande, mais je ne puis l'affirmer, puisque je ne peux le vérifier.
Maintenant, finissons sur une note pessimiste :
Article 27
Les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées :
- du caractère obligatoire ou facultatif des réponses ;
- des conséquences à leur égard d'un défaut de réponse ;
- des personnes physiques ou morales destinataires des informations ;
- de l'existence d'un droit d'accès et de rectification.
Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.
Ces dispositions ne s'appliquent pas à la collecte des informations nécessaires à la constatation des infractions.
Hormis le fait qu'AOL doit informer ses clients que certaines données feront l'objet de traitement informatisé, il apparait dans le dernier alinéa de cet article que si une personne, ou une personne morale, porte plainte, par exemple pour non respect des droits d'auteur, reproduction illicite d'une oeuvre quelconque, etc ... AOL est tenu de communiquer les informations recueillies par le biais de leur monitoring.
Ainsi, en dehors d'une action en justice, motivée par une plainte, AOL n'a AUCUN droit de fermer les comptes de ses clients.
Ce qui semble en revanche assez clair, c'est que quelques syndicats, et regroupements/lobby d'éditeurs de jeux ont dû faire pression sur AOL, et trouver cet "arrangement" "pré-judiciaire".
C'est une façon pour AOL de se déresponsabiliser.
Je vais en rester là pour faire court.
Je vous passerai l'étude de la directive européenne, ainsi que des deux conventions internationales applicables en la matière.
P.S. : Ce n'est que mon commentaire. Si certains y voient des objections allez-y, le débat enrichit.