La pratique du sniff, qui consiste à intercepter les données circulant sur un réseau par un responsable de celui-ci, se heurte a différente législations destinées à protéger les données concernées. Celles-ci concernent à la fois la protection de la vie privée (I) et la protection des données à caractère personnel (II).

Destinées à protéger tous les deux la vie privée, on observe une dissociation des régimes juridiques sur le sujet avec l’apparition d’une législation spécifique relative au secret des correspondances (A) qui vient compléter la législation générale relative à la vie privée (B).

Les correspondances émises par la voie des télécommunications sont protégées par la loi du 10 juillet 1991, avant cette date, ce sont les dispositions relatives à la vie privée (notamment l’article 9 du Code Civil) qui fondaient leur régime de protection. Aujourd’hui le code Pénal prévoit dans son article 226-15 des sanctions aux atteintes au secret des correspondances.

L’article 226-15 dans son alinéa deux prévoit explicitement le cas des télécommunications en disposant « Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions. ».

Ces dispositions instaurent un régime strict de secret relatif à ces correspondances émises par la voie des télécommunications.

La peine prévue par l’article 226-15 alinéa premier concernant toute atteinte au secret des correspondances est « d'un an d'emprisonnement et de 45000 euros d'amende. », on peut donc voir que les peines sont très lourdes.

En application de ces dispositions le principe est donc simple : il est interdit d’intercepter les correspondances. Ceci concerne donc sur un réseau d’école tous les mails qui circulent sur le réseau de l’école.

Le fait de prévoir de telles surveillances dans le règlement intérieur de l’école ne change rien au problème, la seule possibilité serait la divulgation par la personne de son courrier, mais ceci ne peut pas lui être imposé.

La notion de vie privée prévue par l’article 9 du Code Civil est une notion a géométrie variable. En effet, elle n’est pas définie strictement pas les textes, il appartient donc au juge de définir au cas par cas son contenu.

La jurisprudence estime qu’est illicite toute immixtion arbitraire dans la vie privée d’autrui et que le fait de se faire épier, surveiller et suivre est une immixtion illicite.

Concernant l’interception de données sur le réseau de l’école on peut légitimement penser que l’interception des différentes communications telles que les chats par exemple sont clairement protégés par la vie privée, ensuite pour le reste l’interception du surf des internautes peut être, en fonction des circonstances, être rattaché ou non à la vie privée.

Le régime juridique permet comme pour le secret des correspondances de s’opposer à l’interception et à l’utilisation des éléments de la vie privée, l’article 9 du Code Civil autorise ainsi le juge à prendre toutes les mesures nécessaires pour faire cesser l’atteinte à la vie privée.

Le régime de la protection de la vie privée va permettre de combler les lacunes relatives au secret des correspondances qui ne protège qu’une partie des données circulant sur le réseau, la vie privée étant une notion plus large, elle permettra d’élargir le champ d’application et de protection de la loi.

Par conséquent l’école ne pourra pas sur son réseau intercepter les informations qui touchent à la vie privée.

La notion de données à caractère personnel est une notion communautaire qui correspond à celle d’information nominative en droit interne.

Elle recouvre toutes les informations concernant une personne identifiée ou identifiable.

On peut donc y placer des éléments très divers tels que l’adresse IP, le login et le mot de passe utilisateur, qui permettent en pratique d’identifier l’utilisateur de l’ordinateur.

Ces différentes données sont donc soumises à la loi informatique et libertés en droit interne et aux diverses directives communautaires sur le sujet.

La législation sur les données à caractère personnel n’empêche pas la collecte et l’utilisation de ces données, contrairement à la législation sur la vie privée et le secret des correspondances. L’objectif de ces textes est d’encadrer les traitements de ces données.

Si une école par ses interceptions de données, capte et/ou utilise des données à caractère personnel ce qui est évident, car elle devra identifier les auteurs ou destinataires des données qu’elle intercepte, alors elle devra suivre les règles relatives à ces données qui se traduisent par deux aspects : les obligations de l’école (B) et les droits des personnes dont les données sont interceptées (C). Mais il ne faut pas oublier que certaines des personnes concernées sont des mineurs et que le régime peut être un peu différent les concernant (A).

Le régime de la loi de 1978 ne prévoit aucune disposition spécifique relative aux mineurs. La doctrine semble aussi divisée sur le sujet, par conséquent la CNIL s’est saisie du problème.

La CNIL a donc émis des recommandations après consultation de l’ensemble des personnes concernées aussi bien les responsables de traitements que les associations de protection de l’enfance. Il en ressort que la CNIL recommande lors des traitements de données personnelles concernant les mineurs l’accord des parents.

Elle a rappelé, de manière encore plus insistante que pour les traitements concernant les majeurs, la nécessité de respecter le principe de finalité.

• Le principe de déclaration ou d’autorisation préalable : Tout traitement de données à caractère personnel, doit faire l’objet d’une déclaration préalable dans le cadre d’une entreprise de droit privé et d’autorisation préalable pour les établissements publics auprès de la commission nationale informatique et libertés. Cette déclaration ou autorisation doit préciser les caractéristiques du traitement notamment son contenu et sa finalité.
• Les données doivent être traitées loyalement et licitement : La notion de licéité ne fait pas de problème, c'est un simple renvoi aux textes. La loyauté renvoi à un examen au cas par cas du contexte et du comportement. Elle traduit le principe selon lequel il ne faut pas tromper les personnes concernées. En l’espèce l’école doit donc intercepter les données sans le cacher et ne pas non plus tenter de masquer l’utilisation réelle qui est faite des données collectées.
• Les données doivent être traitées pour des finalités déterminées, explicites et légitimes : La violation du principe de finalité est sanctionnée par la responsabilité de droit commun qui se traduira par une demande de dommage intérêts, mais en plus il peut y avoir un recoupement avec l'article 226-21 du code pénal qui sanctionne le détournement de finalité.
• Les données doivent être adéquates, non excessives et pertinentes au regard de la finalité
• Les données doivent être exactes et si nécessaires mises à jour

• Les informations ne doivent être conservées que le temps nécessaire à la réalisation de la finalité
• Obligation d'information : Cette obligation a pour but d'établir une certaine transparence. Le responsable du traitement doit donner des informations aux personnes concernées. Ces informations doivent permettre à la personne concernée de connaître l'existence du traitement et donc de mettre en oeuvre tous leurs autres droits.

L’élève doit avoir la capacité de contrôler ce qui est fait des informations qui sont interceptées et qui le concerne, ainsi que de contrôler leur qualité. Mais il s’agit d’un droit qui implique une attitude active de sa part.

• Le droit de s'informer : L’eleve peut demander à l’école si elle traite des données à caractère personnel à son sujet. Si l’école refuse de répondre à la demande, elle s'expose à une contravention de 5ème catégorie.
• Le droit d'accès à l'information : Toute personne a le droit d'accéder à toutes les données personnelles le concernant, et faisant l'objet d'un traitement. C’est le droit principal de l’élève concernée par l’interception. Il va donc pouvoir consulter auprès de l’ecole, l’ensemble des données qu’elle detient à son sujet. Il n’y a pas de conditions particulières à cette demande, l’élève peut donc choisir la forme de sa demande.
• Le droit de contestation et d'obtenir rectification des données personnelles le concernant
• Le droit de s'opposer au traitement de données à caractère personnel : Toute personne physique a le droit de s'opposer pour des raisons légitimes à ce que des données nominatives le concernant fassent l'objet d'un traitement. Avant comme pendant, à tout moment, même si l'on a accepté avant. La loi n'impose pas une information pour dire qu'il existe un droit d'opposition. Le non respect de ce droit est puni par 5 ans d'emprisonnement et 300.000 euros d'amende

On voit donc à travers ce panorama des réglementations s’appliquant dans le cadre de l’interception des données par une école sur son réseau, que au-delà des données qui sont parfaitement interdites de conserver les autres données obéissent à un régime très contraignant. Par conséquent l’intérêt d’une telle interception est bien faible par rapport aux risques pris. La quasi-totalité des violations des textes vu précédemment sont sanctionnées par des peines pénales de prison ou d’amende, mais parallèlement à ces peines, les victimes de ces violations pourront réclamer à l’école des dommages intérêts pour d’éventuels préjudices subis.