Embed Size (px)
Citation preview
drt 6903A droit du commerce électronique
cours 5 – sécurité et responsabilité
Professeur agrégéFaculté de droit
université de montréalchaire udm
en droit de la sécurité et des affaires électroniques
www.gautrais.com
responsabilités
• Responsabilités existantes
• Responsabilités prospectives
responsabilités
• Hébergeur • Transporteur • Conservation de données • Éditeur • Certification • Blogueur ? • Paiement
responsabilités
• Hébergeur • Définition.• Régime général d’exonération. • Responsabilité possible dans le cas où :
– il a connaissance d’activités illicites de la part des personnes hébergées par lui;
– il a connaissance de circonstances qui rendent apparentes des activités illicites de la part des personnes hébergées par lui;
– il n’a rien fait pour empêcher que des activités illicites de la part des personnes hébergées par lui soient perpétrées.
responsabilités
• Hébergeur• 22. Le prestataire de services qui agit à titre
d'intermédiaire pour offrir des services de conservation de documents technologiques sur un réseau de communication n'est pas responsable des activités accomplies par l'utilisateur du service au moyen des documents remisés par ce dernier ou à la demande de celui-ci.Cependant, il peut engager sa responsabilité, notamment s'il a de fait connaissance que les documents conservés servent à la réalisation d'une activité à caractère illicite ou s'il a connaissance de circonstances qui la rendent apparente et qu'il n'agit pas promptement pour rendre l'accès aux documents impossible ou pour autrement empêcher la poursuite de cette activité.
• Idem pour les référencements (moteurs de recherche)
responsabilités
• Transporteur (art. 36) • Définition. • Régime général d’exonération. Son rôle se
limite à une action technique. • Responsabilité possible dans le cas où :
– il est à l’origine de la transmission; – il sélectionne ou modifie le document transmis; – il sélectionne la personne qui transmet, reçoit ou a
accès au document posant problème;– il conserve le document plus longtemps que ne
l’exige la transmission.
responsabilités• Conservation (art. 37) • Illustrations: deux situations principales : La fonction « cache » (ou
antémémorisation) – La conservation de documents nécessaires à l’utilisation de serveur à accès contrôlé, d’Intranet (notamment pour des raisons de sécurité).
• Régime général d’exonération. Un régime de responsabilité similaire au précédent s’applique aux prestataires de services de conservation.
• Responsabilité possible dans le cas où : – dans l’une des quatre situations qui s’appliquent à la responsabilité du
transmetteur (voir plus haut);– le prestataire ne respecte pas les conditions d’accès au document; – le prestataire empêche la vérification de qui a eu accès au document; – le prestataire ne retire pas promptement du réseau ou ne rend pas
l’accès au document impossible alors qu’il avait connaissancequ’un tel document a été retiré de là où il se trouvait initialement;qu’il n’est pas possible aux personnes qui y ont droit d’y avoir accès;qu’une autorité compétente en a exigé le retrait.
responsabilités
• Éditeurs • Vieux comme la presse• Mais idem à la TV• EX: Choi FM • 1457 CCQ
– Faute – Dommage – Lien de causalité
• Responsabilité plus grande
responsabilités• Certification (47 et s.) • Obligations de l’autorité de certification :
– rédiger une politique de certification – rendre publique la politique de certification;– présenter des garanties d’impartialité;– inscrire promptement sur le répertoire prévu à cet effet tout certificat invalide;– assurer l’intégrité du certificat.
• Obligations du certifié : – garder secret tout dispositif qui permet d’utiliser le certificat, toute utilisation de ce
dernier étant présumée faite par lui;– dévoiler à l’autorité de certification tout motif qui laisserait croire que le dispositif est
compromis par un tiers;– informer l’autorité de certification de tout changement à son statut.
• Obligations du tiers : – vérifier l’identité des intervenants;– vérifier au répertoire la mise en place par l’autorité de certification la validité du
certificat.• Répartition des responsabilités
– Responsabilité non démontrée – d’aucun. Les parties sont toutes responsables.– Responsabilité partagée.
• Quelle que soit la répartition, elle est d’ordre public et ne peut être modifiée par contrat.
responsabilités
• Et que se passe-t-il avec le blogue? • Qualification • Qui contrôle? Vaillancourt c. Lagacé (2005)
– Modéré -> éditeur (si possibilité raisonnable de vérifier)
– Non modéré -> hébergeur
• Et en droit comparé?– Idem aux USA– Différent en droit français
• Sauf exception (recommandation du Forum des droit sur Internet)
responsabilités
• Blogue OK Corral à Saint-Adèle– Équilibre liberté d’expression / diffamation
• Arguments pour le blogueur– Officier public
– Vérifier l’investigation du journalisme
– Autorise un droit réponse
• Arguments pour le maire – 1457 CCQ– Tendance jurisprudentielle au Québec
– Responsabilité des blogues quant aux commentaires• Modération• Non modération
Responsabilitéspaiement
Émetteur de carte Émetteur de carte
commerçantAcheteur
(consommateur)
Responsabilitéspaiement
Banque Laurentienne du Canada c. Abdul-Wahab, 2001 IIJCan 151 (QC C.S.)
•[45] Ceci dit, lorsque le numéro de carte est communiqué par téléphone, Internet ou autrement, sans présentation formelle de la carte, il revient au commerçant d’assumer le risque de la transaction, et non à l’institution financière avec laquelle il a signé une convention de services de paiement au point de vente. En effet, les différentes étapes prévues au manuel d’exploitation visent à réduire au minimum les fraudes et sont sous le seul contrôle du commerçant : présentation de la carte, signature du relevé et vérification des signatures apparaissant au relevé et à l’endos de la carte. Si ces trois étapes sont remplies et si un numéro d’autorisation est obtenu, le commerçant a rempli sa part du contrat et si de bonne foi[2], a droit au paiement[3].
•[46] En somme, quand le commerçant prend sur lui de modifier les méthodes d’exploitation, même lorsqu’il est de bonne foi, il doit en assumer les conséquences, car lui seul est en mesure de faire les vérifications additionnelles que peut requérir une transaction à distance et prendre les dispositions appropriées avant de remettre les biens commandés.
Responsabilitéspaiement
147511 Canada Inc. c. Banque Laurentienne du Canada, 2003 IIJCan 30449 (QC C.S.)
[32] Les incidents et les manquements ont été suffisamment nombreux et importants pour justifier les craintes exprimées par les témoins entendus à l'initiative de Banque Laurentienne et l'intervention immédiate. [33] Il n'était pas nécessaire que Banque Laurentienne fasse la preuve de fraude ou de mauvaise foi de La Compagnie et de ses représentants pour justifier sa décision. Le non respect des conditions d'utilisation, même en toute bonne foi, était suffisant.[34] Le retrait du terminal constituait le seul remède dont Banque Laurentienne disposait pour se protéger et, selon la convention intervenue, elle pouvait agir comme elle l'a fait. Dans les circonstances spécifiques du présent dossier, son comportement ne constituait pas un comportement abusif.
Responsabilités - prospectif
• Proaction des détenteurs de RP– Rapport Canadien (2005)
• Option I – Truncate (partially blank out) payment card numbers • Option II – Verify the identity of persons and organizations accessing credit
reports• Option III – Do not disclose social insurance numbers (SINs) on credit reports
or use them as a unique identifier for consumers• Option IV – Allow consumers to place freezes on their credit reports• Option V – Require organizations that store personal information to notify
individuals and credit bureaus in cases of security breaches• Option VI – Require credit bureaus to place fraud alerts on consumers’ credit
reports incases of security breaches or upon the request of an identity theft victim• Option VII – Require credit lenders to disclose details of fraudulent debts to
victims• Option VIII – Require credit bureaus to block information about fraudulent debts
appearing on a consumer’s credit report• Option IX - Make organizations liable for damages• Option X – Inform victims of their rights
– Rapport anglais de la Chambre des Lords (2007)
