Messages les plus consultés

lundi 18 novembre 2013

Pour ou contre la pratique du BYOD : quelques réponses juridiques


La pratique du BYOD (Bring Your Own Device) ou le fait d’apporter et d’utiliser ses propres appareils numériques (smartphone, ordinateur, tablette) au travail tend à se répandre. Certains prônent la flexibilité, la mobilité et la facilité d’utilisation d’appareils auxquels les collaborateurs sont déjà habitués. D’autres rappellent les inégalités entre les collaborateurs qui peuvent (ou doivent) utiliser leurs propres appareils et les autres. Au-delà de ces prises de position se posent de réelles questions, en termes de sécurité, mais également en termes juridiques.

Nous aborderons le sujet du BYOD selon trois axes : celui de la sécurité informatique, celui relatif à la nécessaire distinction entre les données professionnelles et les données privées, et enfin, l’axe “pédagogique” de la charte informatique.


1. BYOD et sécurité

La question de la sécurité concerne non seulement la sécurité des systèmes informatiques de l’entreprise, mais également, la sécurité de l’information.

La sécurité des systèmes informatiques de l’entreprise est, à juste titre, au coeur de la préoccupation des Directions informatiques.

L’entreprise qui tolère l’utilisation par ses collaborateurs de leurs propres équipements numériques à des fins professionnelles, sans mettre en place les procédures de sécurité appropriées pour assurer la fiabilité de ces supports (logiciels devant être utilisés, anti-virus à installer, etc.), se met en situation de précarité. Hormis les coûts engendrés en cas d’atteinte au système informatique, un système mal sécurisé et vulnérable aux intrusions peut engager la responsabilité de l’entreprise, ou au moins, si l’on se réfère aux dernières jurisprudences dans ce domaine, entraîner un allègement de la responsabilité de la personne coupable de l’atteinte au STAD. (1)

Les risques liés au BYOD concernent également les accès à distance aux serveurs et données, particulièrement si l’entreprise n’a pas déployé une politique de gestion des équipements BYOD, avec des pré-requis techniques avant d’autoriser l’accès à son système informatique, que ce système soit géré en interne, hébergé par un tiers ou exploité en mode Cloud.

En outre, en matière de traitements de données à caractère personnel, les entreprises sont responsables en cas d’atteinte à la sécurité des systèmes, en leur qualité de responsable de traitement. La loi Informatique et Libertés impose en effet au responsable de traitement de prendre toutes précautions utiles (mesures de sécurité technique et physique) pour empêcher que les données personnelles de leurs salariés et clients ne soient erronées, modifiées, effacées par erreur, ou que des tiers non autorisés y aient accès. (2)

Enfin, le BYOD requiert de mettre en place une politique spécifique relative au traitement des documents de l’entreprise et à leur confidentialité, afin d’éviter que d’autres personnes n’y aient accès, notamment si l’ordinateur personnel ou la tablette sont utilisés par ailleurs par d’autres membres de la famille.


2. BYOD et distinction entre données professionnelles et données privées

La frontière entre vie privée et vie professionnelle tend à se brouiller pour certaines catégories de salariés (télétravail, et mobilité notamment).

La jurisprudence relative aux droits de l’employeur à accéder aux documents et emails sur l’ordinateur du salarié est désormais relativement bien établie. Ainsi, l'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Jusqu’à présent, la jurisprudence concernait les accès aux fichiers et emails sur les ordinateurs professionnels mis à la disposition des salariés par l’employeur. En résumé, l’employeur peut accéder aux fichiers numériques et emails du collaborateur, même en son absence, à l’exception des fichiers et emails identifiés comme “personnel” ou “privé”. La jurisprudence a récemment étendu cette faculté d’accès par l’employeur pour les documents se trouvant sur une clé USB appartenant au salarié, mais connectée à l’ordinateur professionnel. (3)

Alors qu’un appareil fourni par l’entreprise a pour finalité première d’être utilisé à des fins professionnelles et que l’utilisation à des fins privées est tolérée à la marge, un appareil personnel est censé être utilisé d’abord à des fins personnelles.

La jurisprudence relative à l’accès par l’employeur au contenu de l’ordinateur professionnel du salarié nous paraît difficilement transposable, telle quelle, au BYOD. En effet, le salarié a droit au respect de l'intimité de sa vie privée. Son employeur ne saurait librement accéder à ses équipements pour en contrôler le contenu. Afin de rétablir un équilibre entre données privées et données professionnelles, il est donc indispensable de définir les “règles du jeu” par la mise en oeuvre d’une charte technologique au sein de l’entreprise.


3. BYOD et charte technologique

Chaque entreprise devrait avoir déployé une charte informatique (également dénommée charte technologique ou charte utilisateur). (4) Cependant, même lorsqu’une charte est en vigueur dans l’entreprise, celle-ci doit être régulièrement revue et mise à jour pour tenir compte de l’évolution des usages et des technologies.

La charte informatique a une dimension pédagogique, à la fois pour les responsables informatique et sécurité qui doivent faire l’effort de poser les bonnes questions pour l’entreprise, la sécurité des systèmes et des données afin de rédiger une charte pertinente, et pour les collaborateurs qui auront à leur disposition les lignes de conduite à suivre dans ce domaine.

Ainsi, l’objet de la charte n’est pas nécessairement d’interdire mais de tracer les limites entre ce qui est autorisé et ce qui ne l’est pas : les collaborateurs sont-ils autorisés à utiliser la messagerie électronique pour échanger des emails privés, peuvent-ils consulter et utiliser les réseaux sociaux pendant leurs heures de travail, enfin sont-ils autorisés à utiliser leurs propres équipements pour l’exécution de leur travail, etc.

L’entreprise devra prendre une position claire sur le fait d’autoriser ou d’interdire l’utilisation par les collaborateurs de leurs propres équipements à des fins professionnelles. Si l’entreprise décide d’autoriser la pratique du BYOD, les règles d’utilisation devront alors être clairement définies afin de pallier les risques identifiés ci-dessus.

En cas d’autorisation du BYOD, la charte devra déterminer les types d’équipements autorisés, les logiciels et mesures de sécurité qui doivent être adoptés par les collaborateurs concernés, les règles de distinction ou de partition entre sphère privée numérique et sphère professionnelle numérique sur les équipements, et les règles d’accès aux données professionnelles par l’employeur.

Enfin, il conviendra de gérer rigoureusement le départ du collaborateur de l’entreprise. En principe, les équipements sont restitués à l’entreprise au moment du départ du collaborateur. Dans le cas du BYOD, il conviendra de prévoir une procédure d’effacement des données professionnelles, avec un engagement de confidentialité renforcé de la part du salarié sur le départ, sans oublier de fermer ses accès à distance au système informatique de l’entreprise (blocage des identifiants et mots de passe).


La question du BYOD ne laisse pas indifférent, à tel point que certains détournent cet acronyme en “buy your own device” (achetez votre propre appareil) ou “bring your own disaster” (apportez votre catastrophe) ! Il n’en demeure pas moins que le BYOD est source de risques en matière de sécurité informatique et juridique. Toute entreprise, quelle que soit sa taille, doit prendre position sur le fait d’interdire ou d’autoriser à ses collaborateurs l’utilisation de leurs équipements numériques. L’interdiction a le mérite d’écarter ces risques, a fortiori si l’entreprise intervient sur des domaines sensibles. Elle permet de conserver le contrôle et de rationaliser le parc informatique et les budgets y afférents ainsi que de gérer les risques de sécurité, compte tenu des composantes matérielles et logicielles. En revanche, l’autorisation du BYOD doit être accompagnée par le déploiement d’une politique de sécurité renforcée et d’une charte informatique adaptée, comprises par les collaborateurs et régulièrement contrôlées et mises à jour.

                                                     * * * * * * * * * *

(1) Voir notamment : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C, et TGI Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. (à noter que le Ministère public a interjeté appel de ce jugement).

(2) Art. 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée; et voir notre article “Protection des données personnelles : qui est responsable en cas de manquement à la loi ?” publié en mai 2013 sur notre blog à : http://dwavocat.blogspot.fr/2013/05/protection-des-donnees-personnelles-qui.html

(3) Voir les dernières jurisprudences de la Cour de cassation : C. cass., ch. soc., 16 mai 2013, N°12-11866 ; C. cass., ch. soc., 19 juin 2013, N°12-12138 ; C. cass., ch. soc.,12 février 2013, No 11-28.649 ; C. cass., ch. soc.,10 mai 2012, N°11-13.884 et notre article “Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles” publié en septembre 2013 sur notre blog à http://dwavocat.blogspot.fr/2013/09/principes-et-limites-lacces-aux-emails.html

(4) A ce sujet, nous renvoyons à nos articles relatifs à la mise en place d’une charte informatique  : http://dwavocat.blogspot.fr/2011/12/la-charte-informatique-face-levolution.html et http://dwavocat.blogspot.fr/2013/10/la-protection-du-patrimoine.html



Bénédicte DELEPORTE

Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2013

jeudi 14 novembre 2013

Données de santé : des obligations de sécurité spécifiques pour les professionnels de la santé

Les données de santé sont considérées comme des informations sensibles, et à ce titre, sont soumises à un haut niveau de sécurité, physique et technique. Toutefois, les médias rapportent régulièrement l'existence de fuites de données de patients, par des centres hospitaliers ou des laboratoires d'analyses médicales, retrouvées sur la Toile. (1)

Les professionnels et établissements de santé sont ainsi légalement tenus de préserver la sécurité et la confidentialité des données de leurs patients, le recours à la sous-traitance pour certains traitements de données ou leur hébergement, ne déchargeant pas les professionnels des obligations, comme vient de le rappeler la CNIL.


1. Les obligations de sécurité et de confidentialité des données des patients pesant sur les professionnels de santé

Les informations relatives à l'état de santé physique et psychique d'un patient sont considérées par la loi comme des données sensibles. Le traitement de ces données, notamment leur collecte, utilisation, communication, stockage, destruction, est soumis à des conditions particulières définies dans la loi Informatique et Libertés (art. 8, 34 et 35) et le Code de la santé publique.

Les professionnels et établissements de santé sont tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données constitue un impératif.

Le Code de la santé publique dispose, en outre, que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4).

Le Code de la santé publique impose aux professionnels de santé le respect de référentiels de sécurité. En pratique, ces professionnels doivent prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Ils sont donc tenus de mettre en oeuvre :

    - des mesures de sécurité physique par un accès contrôlé aux locaux hébergeant les serveurs et par la mise en oeuvre d'une procédure d’habilitation permettant de restreindre l’accès aux seules personnes habilitées, et

    - des mesures techniques par la protection des serveurs par des firewalls, filtres anti-spam et anti-virus, l'accès aux postes de travail par des mots de passe individuels et régulièrement renouvelés, l'utilisation de la carte de professionnel de santé pour accéder aux données, le chiffrement des données, etc.

Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux directeurs d'établissements de santé, publics comme privés, de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de formation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel.

L’absence de déploiement de mesures de sécurité technique ou la négligence dans le déploiement de mesures adaptées sont considérées comme des atteintes graves à la protection de la vie privée des personnes et sont sanctionnées pénalement (jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende - article 226-17 du code pénal). La violation du secret médical est punie d'un an d'emprisonnement et 15.000€ d'amende.


2. Les obligations de sécurité et de confidentialité des données de santé en cas d'externalisation

L’externalisation est entendue comme la sous-traitance à un prestataire tiers de certains types de traitements sur les données ou l’hébergement des données. Ces prestations restent soumises aux mêmes obligations de sécurité et de confidentialité. L’établissement de santé, considéré comme le responsable du traitement, doit donc s’assurer que son sous-traitant agit en conformité avec les obligations légales.

La sous-traitance  -  Le professionnel ou l'établissement de santé peut décider d'externaliser une partie du traitement des données des patients. Dans ce cas, le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité telles que prévues par la loi.

A ce titre, le contrat conclu entre le sous-traitant et le professionnel de santé doit détailler les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

L'hébergement de données de santé par un tiers  -  En cas d’hébergement par un tiers, le professionnel ou l'établissement de santé devra s'assurer que le prestataire met en oeuvre des mesures de sécurité suffisantes. A ce titre, le professionnel de santé doit faire héberger les données de ses patients chez un prestataire agréé par le ministre chargé de la santé, conformément aux articles L.1111-8 et R.1111-9 du Code de la santé publique.

L'obtention de l’agrément est soumise à la mise en oeuvre (i) de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées, et (ii) d'une politique de confidentialité et de sécurité. L'hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé.

La prestation d'hébergement fait l'objet d'un contrat avec le professionnel ou l'établissement de santé, détaillant notamment les prestations fournies et les modalités d'accès aux données.


3. Le rappel des conditions de la protection des données de santé par la CNIL


Malgré ces obligations fortes, de nombreux professionnels et établissements de santé peinent à se mettre en conformité avec la réglementation. Les professionnels des milieux hospitaliers (médecins, infirmiers, etc.), par exemple, ne sont pas toujours informés ni sensibilisés aux règles particulières devant être respectées en matière de sécurité des données. Des données de santé de patients identifiés sont régulièrement accessibles par des sous-traitants intervenant en milieu hospitalier ou dans des laboratoires d’analyses, ou ont même été rendues accessibles en ligne, par simple négligence.

A titre d’illustration, la CNIL, par une délibération du 25 septembre 2013, a mis en demeure publiquement le centre hospitalier de Saint-Malo pour non-respect de la confidentialité des données.

En l'espèce, suite à un contrôle réalisé au sein du centre hospitalier, la CNIL a constaté qu’un des prestataires avait accédé, avec l’accord de l’établissement, aux dossiers médicaux de plusieurs centaines de patients, en méconnaissance totale des dispositions du Code de la santé publique et de la loi Informatique et Libertés relatives au respect de la vie privée des patients et à la sécurité de leurs données.

Le sous-traitant avait été mandaté par le centre hospitalier pour une mission de codage des actes médicaux et paramédicaux. En effet, lors de la prise en charge d'un patient par un centre hospitalier, les actes pratiqués sont codés selon une nomenclature particulière, correspondant au code de remboursement par l'assurance maladie.

Le Code de la santé publique prévoit que les établissements doivent procéder à une analyse de leur activité pour détecter d'éventuelles erreurs de codage. Ces analyses sont généralement sous-traitées par les établissements de santé à des sociétés privées.

Or, la loi soumet le traitement de données à caractère personnel à des fins d'évaluation ou d'analyse des activités de soins et de prévention, à l'obtention d'une autorisation. La CNIL veille ainsi, par le biais de contrôles sur place, dans les établissements de santé, à ce que ces traitements ne portent pas sur les données nominatives des malades.

La mise en demeure prononcée par la CNIL a imposé au centre hospitalier de prendre des mesures garantissant la sécurité et la confidentialité des dossiers médicaux des patients pris en charge et de veiller à ce que ces dossiers ne puissent pas être accessibles aux tiers. En outre, l'établissement de santé devait justifier du respect de cette injonction auprès de la CNIL sous 10 jours.

Dans un communiqué du 17 octobre 2013, la CNIL a annoncé que le centre hospitalier s’était mis en conformité suite à la mise en demeure en mettant en oeuvre plusieurs mesures telles que la suppression de l’accès, par le sous-traitant, aux dossiers médicaux des patients, qui demeurent  désormais sous la seule autorité du médecin responsable de l'information médicale de l'établissement, et la formalisation d’une politique stricte de sécurité des systèmes d’information. (2)

Compte tenu de cette mise en conformité, la CNIL a décidé de clôturer la procédure à l’encontre du centre hospitalier de Saint-Malo.

                                                       * * * * * * * * * *

(1) Voir notamment les articles intitulés "Des centaines de résultats d'analyses médicales accessibles sur internet", publié sur www.rue89.com, le 10 janvier 2012 et "Fuite de données concernant une quarantaine de centres hospitaliers français", publié sur http://www.datasecuritybreach.fr/, le 31 octobre 2013.

(2) Délibération CNIL n°2013-037 du 25 septembre 2013 mettant en demeure le centre hospitalier de Saint-Malo, et Communiqué CNIL intitulé "Clôture de la mise en demeure adoptée à l’encontre du centre hospitalier de Saint-Malo" du 17 octobre 2013.



Bénédicte Deleporte - Avocat
Betty Sfez - Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2013

jeudi 3 octobre 2013

La protection du patrimoine informationnel de l’entreprise : un tour d’horizon

Une entreprise produit et collecte une multitude d'informations et de données de nature commerciale, industrielle, technique, comptable, scientifique, etc. Selon le secteur d'activité de l'entreprise, une partie de ces informations peut être considérée comme stratégique et sensible, constitutive du savoir-faire spécifique à l’entreprise. Ces informations ont donc une valeur patrimoniale considérable.

Dans un monde économique où la concurrence est exacerbée, le savoir-faire développé par l’entreprise conditionne sa pérennité. Toutes les entreprises, quels que soient leur taille ou leur secteur d’activité, sont concernées.

Plusieurs affaires d’espionnage industriel ont été rapportées dans les médias ces dernières années. Parmi celles-ci, on rappellera l’affaire Renault en 2011 où trois cadres auraient divulgué des informations sensibles à l’extérieur de l’entreprise, l’affaire Motorola en 2010 où un ex-employé aurait informé un équipementier télécom chinois pendant plusieurs années, en 2007, une ex-employée de Coca-Cola reconnue coupable d’avoir tenté de vendre des secrets commerciaux à son concurrent Pepsi, ou encore l’affaire Valéo en 2005 dans laquelle une stagiaire chinoise avait téléchargé et transféré à l’étranger des données confidentielles de l’entreprise.

Notre article a pour objet de faire un tour d’horizon des comportements à risque, pouvant résulter dans des fuites, des pertes, des divulgations ou des vols de données confidentielles, et des bonnes pratiques à déployer pour sensibiliser les salariés à la sécurité de l’information.


1. Les comportements à risque et leurs conséquences

Il existe toute une panoplie de comportements à risque pouvant aboutir à des divulgations d’informations confidentielles de l’entreprise. Ces comportements proviennent de personnes internes ou externes à l’entreprise : salariés, ex-salariés, stagiaires, consultants, partenaires commerciaux ou tiers.


    1.1 Les principaux types de comportements à risque


        1.1.1 Le comportement des salariés
La divulgation d'informations stratégiques de l’entreprise est souvent due à la négligence des salariés, plus rarement à une fraude d'un salarié ou ancien salarié. Les quelques exemples ci-après illustrent ces comportements, issus de l’environnement et des comportements quotidiens au travail :

    - L’ordinateur professionnel laissé sans surveillance, ou non verrouillé en l’absence de son utilisateur. Un ordinateur portable non attaché par un câble anti-vol et/ou laissé sans surveillance, dans l’entreprise ou lors d’interventions à l’extérieur de l’entreprise peut être très facilement subtilisé. Un ordinateur dont l’écran n’est pas verrouillé après quelques minutes de veille permet à toute personne d’accéder aux données sans manoeuvre particulière ;

    - La divulgation par des salariés d’informations confidentielles sur un blog et/ou via les réseaux sociaux : les salariés doivent être très vigilants concernant les informations publiées sur internet relatives à leurs activités professionnelles, telles que projets en cours de développement, négociations commerciales, rupture de contrats, situation financière de l’entreprise avant la publication des comptes, etc. ;

    - Le défaut de sécurité du système d'information, non protégé par un système anti-virus à jour ou dont les mots de passe ne sont pas assez robustes ou non changés régulièrement ;

    - Le piratage informatique par un salarié ou un ex-salarié qui s’introduit dans le système informatique de l’entreprise pour détruire ou détourner des données, alors que les accès au STAD (identifiant et mot de passe) ne sont pas modifiés régulièrement.

        1.1.2 Le comportement des stagiaires
Les stagiaires, notamment les jeunes issus de grandes écoles de commerce ou d’ingénieur, sont souvent amenés à travailler sur des projets innovants et pointus pendant leur stage en entreprise. Ces projets sont évidemment confidentiels, et doivent rester très encadrés par l’entreprise.

    - La diffusion et la mise en ligne de rapports de stage sur internet : certains étudiants diffusent leur rapport de stage au-delà de leur professeur, notamment en les mettant en ligne sur des sites web spécialisés. On peut ainsi trouver sur ces sites des rapports contenant des informations économiques ou technologiques sensibles. Il est donc recommandé de valider les rapports de stages pour notamment limiter leur diffusion ou demander que les informations confidentielles soient supprimées avant mise en ligne.

    1.2 L’espionnage industriel

Les manoeuvres, que l’on peut globalement qualifier d’espionnage industriel, peuvent provenir de partenaires commerciaux, français ou étrangers, voire de tiers avec lesquels l’entreprise n’a pas de contacts directs.

        1.2.1 Le comportement de partenaires commerciaux
    - La clé USB infectée par un programme malveillant : le fait de connecter une clé USB confiée par un tiers (pour permettre d’imprimer un document par exemple), à l’ordinateur professionnel du collaborateur, peut résulter en la propagation d’un virus, ou d’un programme malveillant d’aspiration des données stockées sur cet ordinateur ;

    - Le faux contrôle de sécurité de l'ordinateur portable : le cadre d’une société française, en déplacement chez un partenaire commercial à l’étranger a dû remettre son ordinateur au service de sécurité de l’entreprise partenaire pour un “contrôle de sécurité”. Le “contrôle” avait pour objet réel d’aspirer les données stockées sur cet ordinateur.

        1.2.2 Les tiers à l’entreprise
    - L’accès aux locaux sous couvert de maintenance informatique ou l’audit imprévu : des tiers à l’entreprise peuvent être admis dans les locaux pour des motifs apparemment “légitimes”. Ce type de personne a généralement quelques informations sur les prestataires tiers de la société et arrivent à convaincre les personnes de l’accueil qu’elles sont appelées dans le cadre d’une mission précise, telle que la maintenance informatique ou un audit administratif ou contractuel par exemple. Les procédures d’accès dans les locaux doivent donc être strictement contrôlées, notamment par une vérification d’identité et la confirmation de la mission par un responsable de l’entreprise ;

    - Le nouveau salarié (ou intérimaire) “infiltré” : des tiers peuvent se faire embaucher en vue d’avoir accès à des informations confidentielles de l’entreprise, pour les communiquer à un concurrent, puis discrètement quitter l’entreprise avant la fin de la période d’essai.

    1.3 Les risques et les conséquences pour l’entreprise

Tous ces exemples, tirés de faits réels ayant fait l’objet d’enquêtes en France et à l’étranger, et dans certains cas ayant abouti à des sanctions pénales, créent un grave préjudice pour l’entreprise, en termes économiques et d’image de marque.

Les risques et conséquences de ces divers comportements sont la divulgation, intentionnelle ou non, d’informations, documents, secrets de fabrication sensibles et/ou confidentiels à des tiers, concurrents commerciaux ou technologiques, français ou étrangers. Les conséquences peuvent être substantielles pour l’entreprise et résulter en perte de données ou de documents, mise hors service des ressources informatiques en cas de propagation de virus par exemple, atteinte à l'image de marque de la société ou à sa e-réputation, perte de chiffre d’affaires, perte de marchés, mise en cause de la responsabilité de l'entreprise pour atteinte à la sécurité de son système informatique avec perte de données personnelles, etc.

En conséquence, il est essentiel de mettre en oeuvre une politique interne de sensibilisation des salariés à la richesse informationnelle de l’entreprise, à la confidentialité des données et documents utilisés, et aux comportements à adopter au quotidien pour assurer un meilleur niveau de protection de ces données.


2. Les bonnes pratiques visant à protéger la richesse informationnelle de l'entreprise

Ces bonnes pratiques s’articulent autour de deux axes complémentaires : la mise en place d’une politique de sensibilisation des salariés et l’utilisation des outils juridiques appropriés.

    2.1 La mise en place d'une politique de sensibilisation à la sécurité économique et informatique

Cette politique de sensibilisation à la sécurité s’articule en plusieurs points :

    - La nomination d’un responsable sécurité, dont tout ou partie de la fonction consistera à élaborer une politique interne de sécurité (charte de sécurité), entérinée et sponsorisée par la direction de l’entreprise ;

    - L’identification des données et documents à protéger, par catégorie d’information, par département (finance, marketing, commercial, juridique, etc.), la durée de leur protection et les règles d’archivage physiques et dématérialisé ;

    - Le recensement des ressources IT de l’entreprise, et la définition d’une politique de gestion de ces ressources (charte informatique) ;

    - La sécurisation du système informatique de l’entreprise avec, en parallèle, le déploiement de la politique de sécurité informatique ;

    - La sécurisation des locaux, notamment par un contrôle des accès aux locaux de l’entreprise, la gestion des badges d’accès par catégories de personnes (employés, intérimaires, consultants, visiteurs, etc.) ;

    - La gestion du facteur humain par la sensibilisation à la sécurité de l’information, l’encadrement professionnel des stagiaires, la définition des règles de collaboration avec les partenaires commerciaux et les consultants, l’accompagnement des visiteurs, etc.

    - La protection de l’information à l’extérieur de l’entreprise, en déplacement, dans les lieux publics et les transports, en définissant des règles de conduite relatives à l’utilisation des équipements, aux réunions de travail dans des lieux ouverts au public ou dans les transports (train, avion) ;

    - La veille internet afin de détecter des fuites d’information et de surveiller l’e-réputation de l’entreprise.

Cette politique de sécurité doit être accompagnée des “outils” juridiques qui permettront de protéger cette information.

    2.2 Les outils juridiques permettant de protéger le patrimoine informationnel de l'entreprise

Le droit sert d’outil indispensable dans un but de protection de l'information de l'entreprise.

        2.2.1 La protection de la propriété intellectuelle
Bien que les idées, méthodes, théories, concepts et informations brutes ne soient pas des oeuvres protégeables par le droit de la propriété intellectuelle, il n’en est pas de même des créations ou oeuvres de l’esprit. Les marques, dessins et modèles, et brevets sont protégés par le droit de la propriété intellectuelle et industrielle. Les noms de domaine sont protégés pendant une durée d’un à 3 ans renouvelable.

Toute utilisation non autorisée d’une marque enregistrée, d’un modèle déposé ou d’un brevet est constitutive d’une contrefaçon, sanctionnée pénalement.

Il est recommandé de surveiller les marques de l’entreprise et celles des concurrents, en mettant en place une surveillance via un conseil en propriété industrielle par exemple, et en élaborant une politique de marque cohérente répondant à l'image de la société, ses produits et services.

En cas de contrefaçon, concurrence déloyale, plagiat ou parasitisme, il ne faut pas hésiter à réagir en préservant les moyens de preuve (constat d’huissier), puis si l’action est justifiée, en lançant des poursuites judiciaires à l’encontre des contrefacteurs ou du concurrent “indélicat”.

        2.2.2 La protection du savoir-faire
La protection du savoir-faire passe dans un premier temps par la mise en place des bons outils et techniques contractuels, afin de faciliter les moyens de défense en cas de violation de ses engagements par l’autre partie.

    - L’accord de confidentialité et la clause de confidentialité dans les contrats commerciaux : les futurs partenaires ont intérêt d'organiser contractuellement, dès le stade des pourparlers, le respect de la confidentialité des informations échangées. Dans un contrat commercial, la clause de confidentialité met à la charge de son débiteur, ou des deux parties, une obligation de secret concernant des informations communiquées (techniques, commerciales, financières) pendant la durée du contrat, voire le silence sur l'existence de négociations ou d'une relation contractuelle. Cette clause permet d'ériger automatiquement en faute la divulgation d'une information. Même s'il est souvent difficile de rapporter la preuve de la violation de l'obligation de confidentialité, cette clause a le mérite de la dissuasion ;

    - La clause de non-concurrence prive le co-contractant de la faculté d'exercer une activité professionnelle susceptible de concurrencer celle de l'autre, pendant la durée des relations contractuelles, et éventuellement après leur expiration, sur un territoire déterminé ;

    - La clause de non-sollicitation de personnel, par laquelle deux entreprises s'interdisent réciproquement de débaucher tout ou partie de leurs collaborateurs, a pour objet d'éviter le débauchage massif de collaborateurs aux compétences spécifiques.

        2.2.3 La protection des données numériques : la charte informatique
La charte informatique (ou charte technologique) est un document interne à l’entreprise, dont la finalité première est de préciser les règles applicables à l’utilisation des équipements et logiciels mis à la disposition des salariés, afin d’assurer la bonne gestion des ressources et la sécurité des réseaux et données de l’entreprise.

La mise en place d’une charte technologique au sein de l’entreprise a un double objectif : i) la nécessaire information des salariés sur les utilisations autorisées des technologies, et ii) les sanctions éventuellement applicables en cas de non-respect de ces règles, le tout dans un souci de bonne gestion des ressources et de sensibilisation des salariés à la sécurité des réseaux et des données de l’entreprise.

Pour être et rester efficace, la charte informatique doit être revue et mise à jour régulièrement afin de suivre les évolutions technologiques et les usages.

Il est recommandé de l’annexer au règlement intérieur de l’entreprise (dans le respect des dispositions du droit social) afin de la rendre opposable aux salariés, ainsi qu’aux intérimaires et consultants pendant la durée de leur mission dans l’entreprise.


La protection du patrimoine informationnel est l’affaire de tous dans l’entreprise et la sensibilisation des salariés aux enjeux de la maîtrise de l’information passe par la mise en oeuvre de bonnes pratiques reposant sur les deux axes de la politique de sensibilisation et des outils juridiques appropriés.

Il convient enfin de mentionner la proposition de loi sur la protection des informations économiques, discutée en première lecture à l’Assemblée Nationale le 23 janvier 2012. Ce texte a pour objet d’instaurer un nouveau délit d'atteinte au secret des affaires. La divulgation d'informations de nature commerciale, industrielle, financière, scientifique, technique ou stratégique, compromettant gravement les intérêts d'une entreprise (atteintes à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle) serait ainsi punie de 3 ans d'emprisonnement et 375.000€ d'amende. (1)

L’objectif est de construire une protection juridique efficace pour l’ensemble des informations et des connaissances de l’entreprise. Malheureusement, cette proposition de loi remonte à la précédente législature et n’est plus à l’ordre du jour du Parlement actuellement. On peut cependant espérer qu’elle ne restera pas lettre morte, et que l’on disposera d’un arsenal juridique spécifique dans un avenir proche, permettant de combattre les atteintes aux informations sensibles de l’entreprise de manière plus efficace.

                                                       * * * * * * * * * * *

* Article rédigé suite à une conférence donnée au Salon APS (Alarmes, Protection, Sécurité), sur la sécurité de l’information, le 26 septembre 2013.

(1) Proposition de loi de M. Bernard Carayon visant à sanctionner la violation du secret des affaires, n°3985, déposée le 22 novembre 2011, voir dossier législatif : http://www.senat.fr/dossier-legislatif/ppl11-284.html


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com
Octobre 2013

mardi 24 septembre 2013

Open data : un nouvel élan pour la politique d’ouverture des données publiques

La Charte pour l’ouverture des données publiques (ou open data) signée par les chefs d’état des pays du G8 lors du sommet des 17 et 18 juin 2013 en Irlande du Nord, associée à la directive du 26 juin 2013 concernant la réutilisation des informations du secteur public démontrent l’intérêt des politiques pour la promotion d’un réel essor dans ce domaine. (1)

Bien que le droit français dispose d’un cadre réglementaire relatif aux données publiques depuis 1978, avec la loi CADA, les initiatives et projets autour de la réutilisation de ces données restent encore en deçà des attentes. (2) C’est pourquoi il est intéressant de constater que les pays industrialisés (G8 et Etats-membres de l’Union européenne) ont réaffirmé leur engagement pour la promotion de la réutilisation des données publiques par ces deux textes, adoptés au mois de juin dernier.

L’étude de ces textes fait ressortir les principes fondamentaux communs à l’Open Data et à la réutilisation de ces données publiques. Si le premier principe d’ouverture par défaut est une réelle avancée pour affirmer l’importance de l’Open Data, toutes ces données n’ont cependant pas vocation à être librement accessibles et réutilisables. Les droits des personnes (protection des données personnelles et droit d’auteur) sont préservés et certaines catégories de données liées à la sûreté de l’Etat et à la sécurité publique ainsi que les informations commerciales sont exclues de ces dispositifs, comme elles l’étaient déjà de la loi CADA.


1. Charte du G8 et directive Open Data : des principes communs pour une politique de réutilisation des données publiques

La Charte du G8 pour l’ouverture des données publiques repose sur cinq principes, dont l’objet est de faciliter, de manière effective, la réutilisation des données publiques. (3)

    1.1 Les cinq principes de la Charte du G8

La Charte pose les cinq principes suivants : l’ouverture des données publiques par défaut ; des données publiques de qualité, en quantité, accessibles et réutilisables ; une ouverture des données pour améliorer la gouvernance et encourager l’innovation.

Principe n°1 : données ouvertes par défaut
Les données des organismes publics doivent être considérées comme étant, par défaut, des données ouvertes, pouvant être réutilisées. Leur accès doit être libre et leur réutilisation, en principe (mais pas obligatoirement), gratuit. Ce premier principe d’ouverture et de réutilisation est considéré comme étant d’importance majeure pour la société et l’économie.

Principe n°2 : de qualité et en quantité
Les données concernées doivent être “de qualité”, c’est-à-dire, à jour, complètes et exactes. En outre, ces données doivent être mises à disposition dans des délais raisonnables après leur production. Les organismes publics doivent utiliser et mettre à disposition des métadonnées fiables, dans un format uniforme pour faciliter la réutilisation des données, notamment transfrontières.

Principe n°3 : accessibles et réutilisables par tous
L’un des objectifs mis en avant par le G8 est le principe de la gratuité et la diffusion des données en formats ouverts afin que ces données soient lisibles, quels que soient le système d’exploitation, la plateforme ou le logiciel de lecture. Comme on le verra plus loin, le principe de gratuité des données publiques n’est pas une obligation. Les administrations peuvent demander le règlement d’une redevance pour couvrir le coût de mise à disposition des données, voire même d’une redevance d’utilisation des données.

Principe n°4 : ouvrir les données pour améliorer la gouvernance
Un autre objectif de l’open data souligné par le G8 est de favoriser l’exercice de la démocratie. En permettant un accès systématique aux données publiques, les organismes publics s’engagent pour plus de transparence sur les méthodes de collecte des données, sur les normes appliquées et sur les mécanismes de publication.

Principe n°5 : ouvrir les données pour encourager l’innovation
La Charte reconnaît que l’ouverture des données publiques pour leur réutilisation inclut les usages à des fins commerciales et non commerciales.

L’accès à ces données par les entreprises doit permettre le développement de produits et services innovants, et ainsi contribuer au développement économique. Les données peuvent être diffusées libres de droits ou sous licence, de préférence ouverte. (4)

    1.2 La directive du 26 juin 2013

La directive européenne, publiée dans la lignée de la Charte du G8, vient modifier la directive de 2003 concernant la réutilisation des informations du secteur public. L’objet de cette modification est triple : (i) prendre en compte les évolutions technologiques intervenues depuis dix ans, (ii) réduire les disparités des règles en vigueur entre les différents Etats-membres en matière de politique Open Data afin de lever les obstacles aux offres transfrontalières de produits et services basés sur des données publiques, en imposant un degré minimal d’harmonisation communautaire, et (iii) imposer le principe de l’ouverture des données publiques et le droit de réutilisation, ce droit n’existant pas dans la directive de 2003. On remarquera donc que la plupart des dispositions de la directive de juin 2013 figurent déjà dans la loi française.

Principe des données ouvertes par défaut 
Comme la Charte du G8, la directive - version 2013 -, impose le principe des données ouvertes par défaut. Ces données doivent donc pouvoir être librement réutilisables, sous réserve des règles nationales applicables.

Le refus opposé à un demandeur pour accéder à des données doit être justifié. En cas de refus d’accès aux données, l’organisme public doit en communiquer les raisons au demandeur.

Par ailleurs, la directive précise l’extension de son champ d’application aux bibliothèques, bibliothèques universitaires, musées et archives, sous réserve du respect du droit d’auteur notamment (voir les exceptions ci-après).

Formats de fichiers ouverts et structurés 
La qualité des données publiques est rappelée par le biais de l’obligation de fournir les données en formats ouverts, lisibles par la machine, permettant l’interopérabilité, et comprenant une présentation précise des métadonnées.

Gratuité ou redevance 
La directive ne pose pas la gratuité comme un principe. En effet, les opérations de collecte, de production, de reproduction et de diffusion de ces données ont un coût pour les organismes publics. L’accès aux données publiques peut donc être payant, si possible limité à une redevance couvrant uniquement les coûts marginaux de la diffusion des données.

Toutefois, certains organismes publics doivent générer des recettes. La redevance applicable à leurs données pourra donc être supérieure aux coûts marginaux, sous réserve qu’elle soit fixée selon des critères objectifs, transparents et vérifiables.

Conditions de réutilisation  
La réutilisation des données peut être libre ou soumise à des conditions de licence, si possible ouverte.

La directive permet aux organismes publics d’accorder des droits d’exclusivité de réutilisation à des partenaires privés, notamment pour leur permettre d’amortir les investissements réalisés. Cependant, les accords d’exclusivité de réutilisation doivent rester limités, respecter les principes du droit de la concurrence, et être soumis à un réexamen régulier.

La directive du 26 juin 2013 doit être transposée dans les droits nationaux des Etats membres dans un délai de deux ans, à savoir avant le 18 juillet 2015.


2. Toutes les données ne sont cependant pas librement réutilisables


L’affirmation du principe des données ouvertes par défaut, par la Charte du G8 et la directive de juin 2013, ne signifie pas pour autant que toutes les données sont libres d’accès. Les droits des personnes sont notamment reconnus et justifient certaines exceptions au principe de l’Open Data.

Plusieurs catégories de données sont ainsi exclues de l’Open Data, justifiant le refus de communication par les organismes publics. Il s’agit de certaines données soumises à des droits spécifiques (propriété intellectuelle ou données personnelles), relatives à la sûreté de l’Etat et à la sécurité ou encore aux données protégées par la confidentialité. Ces données ne peuvent donc être librement réutilisées.

Les données protégées par le droit de la propriété intellectuelle  
Les données protégées par des droits de propriété intellectuelle ne sont pas libres, même si elles sont détenues par des administrations, collectivités ou autres organismes publics. Ces données ne sont donc pas réutilisables, sauf accord de leur titulaire.

Les données à caractère personnel
Dans le respect des dispositions de la loi Informatique et Libertés, les informations publiques comportant des données personnelles restent protégées. La loi française étend l’exception aux données couvertes par le secret médical. Ces données peuvent néanmoins être communiquées à l’intéressé à sa demande dans les conditions fixées par la loi. (5)

Les données relatives à la protection de la sécurité nationale, de la défense et de la sécurité publique 
Ces données sont exclues des informations publiques et ne peuvent être communiquées.

Les informations commerciales confidentielles (secrets d’affaires, secret professionnel)  
Les informations confidentielles échangées entre des entreprises privées et l’administration, par exemple dans le cadre d’appel d’offres et de l’exécution de marchés publics, restent couvertes par la confidentialité.

Les données statistiques confidentielles
Toutes les données statistiques ne sont pas des données publiques. Certaines statistiques peuvent en effet comprendre des données permettant d’identifier des personnes, directement ou indirectement ; d’autres peuvent être directement liées à la sécurité publique, etc.

La frontière entre données publiques et données protégées, et donc le droit de réutilisation, n’est pas toujours aisée à tracer. Il existe à ce sujet quelques décisions de justice venant préciser le contour de la protection de la vie privée ou des droits de propriété intellectuelle et du producteur de base de données. (6)


Que ces nouveaux textes soient un véritable pas en avant ou la réaffirmation de droits déjà définis dans la loi, peu importe. Il nous paraît que l’engagement des principaux pays industrialisés sur des principes communs à l’Open Data démontre une volonté réelle de participer à l’essor de la réutilisation de ces données par le secteur privé, que ce soit à des fins d’intérêt général ou commerciales.

Même si l’administration française est de plus en plus active dans ce domaine (voir le site www.data.gouv.fr qui affiche un accès à plus de 350 000 jeux de données publiques), sans oublier l’engagement de certaines collectivités locales et des organismes culturels (musées du Louvre ou du quai Branly par exemple), le domaine de la réutilisation des données publiques paraît bien encadré juridiquement, afin de permettre aux entrepreneurs de développer de nouveaux produits et services.

A cette fin, l’annexe à la charte du G8 liste utilement des catégories de données à forte valeur ajoutée. On retiendra par exemple les catégories suivantes : données d’environnement, données d’observation de la Terre et données géospatiales ; données d’éducation ; données relatives aux finances et aux marchés ; données de santé ; ou données dans les domaines de la science et de la recherche. On peut donc comprendre que l’Open Data n’est pas qu’un débat théorique. Si l’on considère ces données brutes comme une matière première à transformer, il existe de réelles opportunités en matière de développement de projets dans un environnement réglementaire qui tend à se préciser.

                                                            * * * * * * * * * * *

(1) Charte du G8 pour l’Ouverture des Données Publiques - 18 juin 2013, accessible sur le site etalab.gouv.fr ; Directive 2013/37/UE du Parlement européen et du Conseil du 26 juin 2013 modifiant la directive 2003/98/CE concernant la réutilisation des informations du secteur public

(2) Loi n°78-753 du 17 juillet 1978, dite loi CADA, portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal. A noter que la loi CADA distingue entre “document administratif” et “information publique”, les documents administratifs étant définis à l’article 1er de la loi, et les informations publiques (à savoir, les données contenues dans les document administratifs, sous réserve d’exceptions) sont définies à l’article 10..

(3) Pour rappel, les pays du G8 sont l’Allemagne, le Canada, les Etats-Unis, la France, l’Italie, le Japon, le Royaume Uni et la Russie
 
(4) A ce titre, voir par exemple la licence ouverte (ou Open licence) publiée par Etalab en décembre 2011

(5) voir article 6 de la loi CADA du 17 juillet 1978

(6) Voir par exemple les précisions apportées par la jurisprudence “notrefamille.com” :
- Respect de la loi Informatique et Libertés du 6 janvier 1978 : C. Adm. d’Appel de Lyon du 4 juillet 2012, Département du Cantal c/ notrefamille.com
- Droit du producteur de base de données : Trib. Adm. de Poitiers du 31 janvier 2013, notrefamille.com c/ Département de la Vienne ; C. Adm. d’Appel de Nancy du 18 avril 2013, notrefamille.com c/ Conseil général de la Moselle



Bénédicte DELEPORTE - Avocat

Septembre 2013

mardi 10 septembre 2013

Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles


Avec l’arrêt Nikon du 2 octobre 2001, la cour de cassation rappelait que le salarié avait droit, même sur le lieu et pendant le temps de travail, au respect de l'intimité de sa vie privée, y compris le respect du secret des correspondances. Dès lors, l'employeur ne pouvait, sans violer cette liberté fondamentale, prendre connaissance des messages personnels émis et reçus par le salarié grâce à l’ordinateur mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur. (1)

Cependant, même si le principe général du respect de l'intimité de la vie privée du salarié sur le lieu et pendant le temps de travail a été reconnu, plusieurs décisions de justice sont venues en préciser les contours depuis cet arrêt de 2001, notamment trois décisions rendues par la Cour de cassation en 2013.


1. La délimitation des sphères vie privée / vie professionnelle en matière d’accès aux contenus des ordinateurs professionnels


L'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Le contrôle par l’employeur doit néanmoins être réalisé pour des motifs légitimes et être justifié, par exemple pour vérifier que le salarié n’utilise pas son ordinateur professionnel d'une manière qui serait susceptible de porter atteinte à l'image de l'entreprise ou pour exercer une activité professionnelle concurrente. Dans ce cas, conformément à la jurisprudence, un tel contrôle ne saurait porter atteinte aux droits du salarié au respect de sa liberté d'expression et de sa vie privée sur son lieu de travail et pendant son temps de travail.

Toutefois, sans pour autant remettre en cause ces libertés fondamentales, la jurisprudence tend, depuis quelques années, à préciser les contours de la sphère vie privée en affirmant que l'outil informatique mis à la disposition du salarié, par l'employeur, pour l’exécution de son travail ne doit pas être détourné de son objet professionnel.

La règle est désormais la suivante : tous les fichiers et emails créés, adressés ou reçus par un salarié à l'aide de son ordinateur professionnel sont présumés professionnels. L’employeur peut donc y accéder hors sa présence et s'en servir, notamment en cas d’action disciplinaire. (2)

Aussi, afin de limiter les accès à des documents relevant de la sphère privée, il appartient au salarié d'apposer un signe distinctif sur les documents et messages personnels. De récentes décisions de la Cour de cassation illustrent parfaitement cette tendance jurisprudentielle.


2. Le principe de présomption du caractère professionnel des échanges

Dans une décision du 16 mai 2013, la Cour de cassation a affirmé que l’employeur pouvait prendre connaissance des messages personnels émis et reçus par le salarié, grâce à son l’ordinateur professionnel mis à sa disposition. Ces emails, même s'ils ne comportaient pas le nom de la société dans l’adresse, sont présumés professionnels. (3)

En l’espèce, une société avait assigné l’un de ses anciens salariés, et son nouvel employeur, pour détournement de clientèle et concurrence déloyale pendant l’exécution du préavis du salarié. Au cours de la procédure, les défendeurs ont invoqué le fait que le constat d’huissier versé aux débats par la société demanderesse, ne constituait pas un mode de preuve licite. Ce constat avait été réalisé à partir de la boîte email de l’ancien salarié, dont l’adresse électronique ne comportait pas le nom de la société, et en l’absence du salarié concerné. Si le salarié utilisait cette messagerie dans un cadre professionnel, il recevait également des messages personnels, protégés par le secret des correspondances et le droit au respect de la vie privée.

La Cour de cassation a cependant jugé que "les courriels adressés et reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme personnels."

En conséquence, tous les fichiers et emails édités et reçus par un salarié, à l’aide de son ordinateur professionnel, peuvent être consultés par l’employeur, sauf s’ils sont identifiés comme “personnels” (dans leur intitulé ou placés dans un dossier “personnel”).


3. Les emails envoyés depuis la messagerie personnelle, stockés sur l’ordinateur professionnel sont présumés de nature professionnelle

La Cour de cassation, dans cette décision du 19 juin 2013, a étendu la règle de l’identification “personnel” aux emails émis depuis l’ordinateur personnel du salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel. (4)

En l'espèce, le directeur artistique d'une agence de publicité avait été licencié pour faute grave, à savoir pour concurrence déloyale. Une expertise de son disque dur professionnel avait révélé l'échange de nombreux emails, depuis son ordinateur et adresse de messagerie personnels, avec des salariés d’une agence concurrente portant sur les produits d’un client de son employeur. Ces emails avaient ensuite été transférés sur son ordinateur professionnel. Or, ces emails ne portaient pas la mention “personnel” dans leur objet et ne figuraient pas dans un dossier identifié comme personnel dans son ordinateur professionnel. Par ailleurs, plusieurs dossiers et fichiers expressément nommés “perso” ou “personnel” découverts sur le disque dur, avaient été exclus du rapport d'expertise.

Contestant son licenciement, le salarié a saisi la juridiction prud'homale. Il affirmait que les emails litigieux avaient un caractère personnel puisqu'ils avaient été envoyés depuis son adresse de messagerie personnelle. Aussi, le salarié considérait que l'accès à ses messages, effectué par un expert mandaté par l'employeur, hors sa présence, constituait une atteinte au respect de sa vie privée Les constatations effectuées par l'expert lui étaient donc inopposables. Selon le salarié, l’employeur ne pouvait ni lire, ni se servir des emails comme preuve d’une faute ; le licenciement était donc dépourvu de cause réelle et sérieuse.

La Cour de cassation n'a pas suivi l'argumentation du salarié. Les juges ont rappelé le principe de base concernant la qualité “professionnelle” des emails se trouvant dans l’ordinateur professionnel du salarié, en précisant que "des courriels et fichiers, intégrés dans le disque dur de l'ordinateur mis à disposition du salarié par l'employeur, ne sont pas identifiés comme personnels du seul fait qu'ils émanent initialement de la messagerie électronique personnelle du salarié".

En conclusion, tout le contenu du disque dur de l’ordinateur professionnel, y compris la messagerie, est présumé à caractère professionnel. Dans ce cas, l’employeur y a librement accès et peut consulter l’ensemble de son contenu, pour le cas échéant, l’utiliser contre le salarié.

De même, dès lors qu’un lien avec l'ordinateur mis à disposition du salarié peut être établi, les messages, dossiers, et autres fichiers sont présumés avoir un caractère professionnel. C'est ainsi que la Cour de cassation a, dans une décision du 12 février 2013, poussé le raisonnement jusqu’à considérer qu’une clé USB, même personnelle, connectée à l'ordinateur professionnel était présumée utilisée à des fins professionnelles. L’employeur peut donc avoir accès aux fichiers contenus sur la clé USB, hors la présence du salarié. (5)

Ainsi, seule la mention précise et clairement identifiable du caractère personnel d'un fichier est susceptible de protéger sa libre consultation par l’employeur. Pour rappel, dans un décision du 10 mai 2012, la Cour de cassation avait jugé que la seule dénomination "Mes documents" donnée à un fichier ne lui conférait pas un caractère personnel. L'employeur pouvait donc librement consulter ce fichier. (6)


On assiste depuis plusieurs années à une porosité accrue entre vie personnelle et vie professionnelle, tendance facilitée par une demande de flexibilité des salariés et par l’évolution des équipements informatiques.

Si les salariés ont tendance à utiliser leur ordinateur professionnel à des fins personnelles (utilisation de la messagerie, stockage de documents, consultation d’internet, etc.), la pratique du BYOD, par laquelle les salariés peuvent être autorisés à utiliser leur propre équipement informatique à des fins professionnelles, implique d’appliquer des règles de conduite strictes pour maintenir une ligne claire entre sphère privée et sphère professionnelle. La première règle consiste à distinguer entre dossiers “personnels” et dossiers “professionnels”.

Les tribunaux considèrent que les documents et emails se trouvant sur un ordinateur professionnel sont d’ordre professionnel par défaut. Cela revient-il à considérer que, pour une entreprise tolérant ou encourageant la pratique du BYOD, les documents et emails se trouvant sur un équipement  informatique personnel sont d’ordre personnel par défaut ? (7) Les chartes informatiques doivent permettre aux entreprises de rappeler à leurs collaborateurs les règles de base en matière d’utilisation des outils informatiques et de distinction privé / professionnel.

* * * * * * * * * *

(1) Cour de cassation, chambre sociale, 2 oct. 2001, n°99-42.942, Nikon France

(2) Les courriels constituent des preuves admissibles et ont force probante devant les Conseils de prud'hommes.

(3) Cour de cassation, chambre sociale, 16 mai 2013, N°12-11866

(4) Cour de cassation, chambre sociale, 19 juin 2013, N°12-12138

(5) Cour de cassation, chambre sociale, 12 février 2013, No 11-28.649

(6) Cour de cassation, chambre sociale, 10 mai 2012, N°11-13.884

(7) BYOD (Bring your own device) consiste pour les salariés à utiliser leur propre équipement (ordinateur, tablette, smartphone) à des fins professionnelles



Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2013


lundi 5 août 2013

Annulation du contrat de cession d’un fichier d’adresses clients non déclaré à la CNIL

Les bases de données, ou fichiers, constitués de données personnelles de clients (dont les emails et adresses postales) ont une valeur patrimoniale pouvant s’élever à plusieurs centaines de milliers d’euros, compte tenu de la qualité de la base de données (nombre d’adresses, possibilité de cibler les profils des utilisateurs, conformité de la base de données à la réglementation sur la constitution de la base et à la loi Informatique et Libertés, etc.).

Suivant les conditions de leur constitution et la nature des autorisations des personnes concernées, ces bases de données peuvent ensuite être “louées” ou cédées contractuellement contre rémunération. Ainsi, dans le cadre des opération de liquidation des magasins Virgin, le fichier des clients détenteurs de la carte de fidélité Virgin Mégastore, comprenant les coordonnées de 1,6 millions de clients, vient d’être racheté par une enseigne concurrente. (1)

Cependant, la valeur de ces fichiers dépend notamment de leurs conditions de constitution, dont le respect des obligations de déclaration à la CNIL. (2)

Dans un arrêt du 25 juin 2013, la Cour de cassation vient ainsi d’annuler la cession d’une base de données clients au motif que celle-ci n’avait pas été dûment déclarée à la CNIL. (3)


1. Les conditions de constitution et de commercialisation d’une base de données clients de valeur

Les sociétés qui collectent des données relatives à leurs clients et utilisateurs de leurs produits ou services - que ce soit au moment de l’inscription sur leur site internet ou au moment de passer commande - mettent en œuvre un traitement de données à caractère personnel. Cette base de données clients a pour objet (ou finalité) d’identifier les utilisateurs, prospects et/ou clients de l’entreprise.

Or, la constitution d’une base de données est notamment soumise au respect des dispositions de la loi Informatique et Libertés, dont nous rappelons les principales obligations ci-dessous.

    1.1 Rappel des principales obligations légales relatives à la collecte et au traitement des données clients

Les traitements de données personnelles comprennent tous types d'opérations qui permettent d'identifier une personne physique, directement ou indirectement, et le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.

Le responsable du traitement sera en règle générale, le dirigeant de l'entreprise ou le chef de service de l'organisme au sein de cette société en charge des traitements de données à caractère personnel.

Outre le fait de prendre toutes les précautions nécessaires pour assurer la sécurité et la confidentialité des données clients qu'il a en sa possession, le responsable de traitement doit notamment respecter les obligations suivantes :

Le fichier constitué doit être réalisé selon une finalité définie et précise, telle que la vente d’un produit ou la fourniture d’un service.

Les données collectées doivent donc être pertinentes compte tenu de cette finalité. Par exemple, le formulaire de commande d’un site marchand collectera les nom, prénom et adresse du client (finalité de traitement de la commande). En revanche, il ne sera généralement pas pertinent de demander la catégorie socio-professionnelle ou le statut marital de l'acheteur. Lors de la création du formulaire de passation de commande, il sera donc important de réfléchir aux catégories de données strictement nécessaires au traitement des commandes.

La collecte de données personnelles à des fins commerciales est soumise au consentement de la personne concernée. Ce droit d’information et de consentement implique également que les données ainsi collectées ne peuvent être utilisées à des fins de prospection commerciale, ni cédées que sous réserve d’avoir obtenu le consentement express de cette personne (ou “opt-in”).

Les données personnelles ne peuvent être conservées sans limitation de durée, mais pour une durée "raisonnable" correspondant à la durée nécessaire au traitement.

Enfin, les personnes concernées bénéficient d’un droit d'accès, de rectification (mise à jour), de contestation et d'opposition (suppression/désinscription) au traitement de leurs données. Cette faculté (droit d’accès, désinscription, etc.) se traduit par une information, et un lien hypertexte,  figurant en bas des emails commerciaux.

Le fichier, ou base de données, ainsi constitué doit avoir fait l’objet d’une déclaration préalable à la CNIL : le responsable du traitement doit - préalablement à la mise en oeuvre du fichier - procéder à une déclaration simplifiée de conformité (ex: norme simplifiée n°48 pour un fichier clients/prospects) ou à une déclaration normale, selon le type de traitement envisagé et les données collectées.

    1.2 La nécessité de contrôler la conformité légale de la base de données clients en cas de location ou de cession

En cas de non-respect des obligations légales, la base de données ainsi constituée peut être dénuée de toute valeur patrimoniale. La société ayant constitué cette base ne pourra l’exploiter légalement, que ce soit directement, en accordant des droits d’utilisation de la base à des tiers, ou encore en tentant de la céder.

En cas de cession d’un fichier clients, il est recommandé au cessionnaire de la base (l’acquéreur) de faire stipuler au contrat que la base est effectivement conforme à la réglementation, qu’elle a été dûment déclarée à la CNIL, qu’elle a été constituée dans le respect des droits des personnes concernées et que celles-ci ont effectivement donné leur consentement express à l’utilisation de leurs données par des partenaires commerciaux. Le cas échéant, l’acquéreur pourra exiger de faire réaliser un audit de conformité de la base de données à la réglementation.

Par ailleurs, au cas où l’acquéreur envisagerait de transférer la base de données en dehors de l’Union européenne, il lui appartiendra de s’assurer que les procédures relatives aux autorisations  et informations préalables ont été respectées.

Le vendeur du fichier clients devra informer l'acheteur des éventuelles limites d'utilisation des informations comprises dans la base de données. Quant à l'acheteur, il devra exiger du vendeur la preuve de la licéité de la collecte et du traitement des données. Une fois la cession du fichier devenue effective, le nouvel acquéreur deviendra responsable de traitement et prendra en charge les obligations légales à compter de la date effective de ladite cession.


2. Fichier clients illicite : les risques juridiques et financiers encourus par les parties


Le non-respect de la réglementation relative à la constitution des fichiers de données personnelles, notamment de la loi Informatique et Libertés, expose le titulaire des droits sur ce fichier à de sévères sanctions, d’ordre administratif et pénal. Dans le cas d’une cession de fichier, la sanction est également pécuniaire dans la mesure où ce fichier sera dénué de toute existence légale.

    2.1 Les sanctions administratives et pénales applicables à un fichier clients illicite


Les pouvoirs de contrôle et de sanction de la CNIL 
La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements qui auraient constitué un fichier de données clients en violation des dispositions de la loi Informatique et Libertés. La CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut alors prononcer une sanction pécuniaire d'un montant maximum de 300.000€ et/ou l’injonction de cesser le traitement.

Les sanctions pénales 
La CNIL peut également décider de dénoncer les infractions constatées au procureur de la République. Les manquements à la loi Informatique et Libertés sont sévèrement réprimés par des   sanctions pénales, se déclinant comme suit :
    - le fait de procéder, y compris par négligence, à un traitement de données personnelles sans respecter les formalités préalables de déclaration est puni de 5 ans d’emprisonnement et 300.000€ d’amende ;
    - le fait de procéder à un traitement de données personnelles malgré l'opposition de la personne concernée est puni de 5 ans d’emprisonnement et 300.000€ d’amende ; et
    - le fait de procéder à de la prospection directe sans obtenir le consentement préalable du destinataire du message publicitaire est puni d'une amende de 750€ par message irrégulièrement expédié ; cette amende peut-être portée au quintuple pour les personnes morales (soit 3.750€ par message). (4)

    2.2 La nullité de la vente d’un fichier clients illicite

La Cour de cassation, dans un arrêt du 25 juin 2013, vient de se prononcer sur la licéité de la vente d’un fichier clients informatisé, non déclaré à la CNIL. Dans cet arrêt, la Cour a retenu que, dans la mesure où un fichier non déclaré est illicite, ce fichier doit être considéré comme étant hors commerce. Il ne peut donc faire l'objet d'un contrat et donc d'une vente. La sanction de l'illicéité étant la nullité, ceci implique pour le vendeur d'un fichier non-déclaré l'obligation de rembourser à l'acheteur le prix de la vente, son fichier étant sans valeur juridique ni commerciale.

Dans cette affaire, deux associés d'une société avaient décidé de céder certains éléments de leur fonds de commerce de vente de vins aux particuliers, dont un fichier clients. Ce fichier comprenait près de 6.000 contacts clients. Le prix de la cession était fixé à 46.000€.

L'acquéreur, ayant découvert que le fichier n'avait pas été déclaré à la CNIL, a assigné les vendeurs en résolution de la vente, pour dol et pour non-conformité du fichier clients à la loi. Débouté en première instance, le vendeur a interjeté appel. La Cour d'appel de Rennes a rejeté les demandes de l'acquéreur du fichier. Si la Cour d'appel a relevé qu'un tel fichier clients devait effectivement faire l'objet d'une déclaration simplifiée, et qu'en l'espèce le fichier n’avait pas été déclaré, la loi n'avait cependant pas prévu de sanctionner l'absence d'une telle déclaration par la nullité du fichier.

L'acquéreur a finalement obtenu gain de cause devant la cour suprême. La Cour de cassation a fondé sa décision sur :
    - l'article 22 de la Loi Informatique et Libertés qui dispose que : "(...) les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés", et
    - l'article 1128 du Code civil qui dispose que : "Il n'y a que les choses qui sont dans le commerce qui puissent être l'objet des conventions". En d'autres termes, il ne peut y avoir de contrat valable que sur un objet licite.

La Cour a ainsi considéré que "tout fichier informatisé contenant des données à caractère personnel doit faire l'objet d'une déclaration auprès de la CNIL et que la vente d'un tel fichier qui, n'ayant pas été déclaré, n'est pas dans le commerce, a un objet illicite".

La Cour de cassation donne ainsi à la loi Informatique et Libertés une importance toute particulière : la valeur commerciale, ou patrimoniale, d'un fichier clients dépend de sa conformité à la réglementation sur la protection des données personnelles. 


Si cette jurisprudence ne concerne que le non-respect des formalités préalables, ce raisonnement de la Cour pourrait être étendu à toutes cessions de fichiers clients pour lesquels le vendeur n'aurait pas respecté les autres obligations légales, telle par exemple l’absence de consentement et d'information des personnes concernées.

Les bases de données entrent dans la valorisation patrimoniale des entreprises, au même titre que les contrats commerciaux, leur portefeuille de marques et autres actifs matériels et immatériels. Au-delà des sanctions administratives et pénales encourues en cas de base de données illicite, la conformité de la constitution des bases de données clients est désormais affirmée comme l’un des éléments à valider par le cessionnaire, dans le cadre d’une cession de droits par une entreprise, voire par les investisseurs en cas de prise de participation dans une opération d’augmentation de capital.

                                                      * * * * * * * * * * *

(1) Voir article "Bataille pour acquérir le fichier clients de Virgin", publié le 3 juillet 2013 sur http://www.lemonde.fr/.

(2) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(3) Cass. com., 25 juin 2013, n°12-17.037

(4) Article 50 loi Informatique et Libertés ; Articles 226-16 et s., 131-13 et 131-41 du Code pénal et article R-10-1 du Code des Postes et des Communications Electroniques.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com/
Août 2013

jeudi 11 juillet 2013

Cybercriminalité : la réponse pénale de l'Union européenne aux attaques contre les systèmes d'information

Partant du constat que les cyberattaques contre les Etats et les entreprises se multiplient et qu'à grande échelle ces d'attaques sont susceptibles de provoquer "des dommages économiques notables, tant du fait de l'interruption des systèmes d'information et des communications qu'en raison de la perte ou l'altération d'informations confidentielles importantes d'un point de vue commercial ou d'autres données", le Parlement européen vient d'adopter, en première lecture, une proposition de directive relative aux attaques visant les systèmes d’information. (1)

Ce texte, adopté à la majorité absolue (541 voix, 91 contre et 9 abstentions), définit les infractions punissables et les sanctions en cas d'attaques contre les systèmes d'information. En outre, il vise à faciliter la prévention de ces infractions et à améliorer la coopération entre les autorités compétentes des Etats membres. Voici ce qu'il faut retenir.


1. Les actes de cybercriminalité sanctionnés


La proposition de directive exige que les États membres érigent en infraction pénale punissable les cinq types d'agissements suivants :

    - l'accès illégal à tout ou partie des systèmes d'information, à savoir l'accès commis en violation d'une mesure de sécurité ;

    - l'atteinte illégale à l'intégrité d'un système d'information, à savoir le fait de provoquer une perturbation grave ou une interruption du fonctionnement d'un système, en introduisant, effaçant, altérant, ou rendant inaccessibles des données informatiques ;

    - l'atteinte illégale à l'intégrité des données, à savoir le fait d'endommager, de détériorer, de supprimer ou de rendre inaccessibles des données informatiques d'un système ;

    - l'interception illégale (par des moyens techniques de transmissions non publiques) de données informatiques à destination, en provenance ou à l'intérieur d'un système d'information ;

    - enfin la mise à disposition (production, vente, importation, diffusion) d'outils (logiciels ou codes d'accès) utilisés dans l'intention de commettre l’une des infractions visées ci-dessus.

Ces actes doivent être commis de manière intentionnelle et sans droit, à savoir sans l'autorisation du propriétaire du système. Le texte exclut de la liste des infractions les "cas mineurs" d'attaques.  Il appartiendra à chaque Etat membre de définir ces "cas mineurs" et le cas échéant, de sanctionner ces attaques, selon leur droit national.

Le droit français sanctionne déjà une partie de ces agissements, à savoir les "atteintes aux systèmes de traitement automatisé de données" (STAD)(articles 323-1 et s. Code pénal).


2. Les personnes punissables de cyberattaques


Les auteurs des infractions mentionnées ci-dessus seront sanctionnés. Il en va de même pour la personne qui aura incité l'auteur à commettre l'une de ces infractions ou qui sera son complice. En outre, sera également punie la personne qui aura tenté de commettre une atteinte illégale à l'intégrité d'un système ou des données.

Par ailleurs, la proposition de directive prévoit que les personnes morales pourront être tenues responsables des infractions, lorsque celles-ci sont commises pour leur compte (par exemple “pirate” informatique mandaté pour attaquer la concurrence). Le droit français sanctionne également les personnes morales en cas d'atteintes à un STAD.

Si la proposition de directive sanctionne les entreprises, ce texte ne prévoit aucune sanction en cas de cyberattaque orchestrée par un Etat.


3. L'adoption de sanctions pénales : des peines plancher d'emprisonnement


La proposition de directive précise que les sanctions doivent être effectives, proportionnées et dissuasives. Ainsi, le texte exige que les Etats membres punissent les cyberdéliquants de peines d'emprisonnement, dont la durée minimum est fixée par le Parlement et le Conseil. Ces peines varient selon les infractions commises, allant de 2 à 5 ans.

Ainsi, la proposition de directive prévoit notamment qu'une personne coupable d'avoir utilisé un réseau d'ordinateurs zombies ("botnet") doit être punie d'un minimum de 3 ans d'emprisonnement. Quant aux pirates informatiques qui attaquent le système d'information d'une infrastructure critique (ex: centrales nucléaires, réseaux de transport et gouvernementaux), qui agissent dans le cadre d'une organisation criminelle ou qui causent de graves préjudices, ils devront être punis d'un minimum de 5 ans d'emprisonnement. La notion de "grave préjudice" n'est cependant pas définie dans le texte.

Le texte prévoit également des sanctions spécifiques à l'encontre des personnes morales, à savoir des amendes et des peines complémentaires telles que la fermeture temporaire ou définitive d'établissements ayant servi à commettre l'infraction.

En France, les infractions existantes en matière d'atteintes à un STAD sont punies de peines d'emprisonnement - de 2 à 7 ans, et d'amendes - de 30.000€ à 100.000€. Toutefois, contrairement aux dispositions de la proposition de directive, ces sanctions sont des peines maximales. Le recours aux peines plancher est peu utilisé dans notre système pénal ; traditionnellement, la loi pénale française fixe pour chaque infraction la peine maximale encourue, que le juge ne peut dépasser mais dont il est libre de faire une application partielle en fonction des faits de l'espèce et de la personnalité du condamné. Aussi, lorsque la directive sera adoptée, il appartiendra à la France de renforcer ses sanctions.


4. La poursuite des infractions et la coopération entre les Etats membres

La compétence des Etats membres  -  La proposition de directive prévoit que les Etats membres sont compétents lorsque l'une des infractions, mentionnées ci-dessus, a été commise, soit en tout ou en partie sur leur territoire, soit par l’un de leurs ressortissants, sous réserve que l'acte frauduleux constitue une infraction dans le pays où il a été commis.
En outre, lorsque l'acte cybercriminel a été commis en tout ou en partie sur son territoire, un État membre veille à se déclarer compétent lorsque : a) l'auteur de l'infraction a commis celle-ci alors qu'il était physiquement présent sur son territoire, que l'infraction vise un système d'information situé sur son territoire ou non ; ou b) l'infraction vise un système d'information situé sur son territoire, que l'auteur de l'infraction soit physiquement présent sur son territoire ou non lors de la commission de l'infraction.

Enfin, le texte prévoit qu'un Etat membre peut établir sa compétence, après en avoir informé la Commission européenne, lorsqu'une infraction a été commise en dehors de son territoire mais que, soit l'auteur de l'infraction réside habituellement sur son territoire, soit l'infraction a été commise pour le compte d'une personne morale établie sur son territoire.

La proposition de directive offre donc aux Etats membres une compétence juridictionnelle très étendue en matière de cyberattaques. Cette extension est telle que, selon les cas, plusieurs Etats pourraient se déclarer compétents à l'égard d'une même infraction. Or, le texte ne prévoit pas de solution particulière dans l'hypothèse où plusieurs Etats revendiqueraient une telle compétence.

Une coopération renforcée  -  Afin de lutter efficacement contre les attaques de cyberdéliquants, la proposition de directive souhaite mettre en place un système d'échange d'informations relatives aux infractions entre les Etats.

Pour ce faire, le texte exige que les États membres mettent en place un système de suivi des infractions (nombre d'infractions et nombre de personnes poursuivies et condamnées enregistrées), puis transmettent à la Commission les statistiques recueillies. Ces statistiques seront ensuite communiquées aux agences et organes spécialisés compétents de l'Union.

Par ailleurs, la proposition de directive créerait un réseau d'information et imposerait ainsi aux Etats membres de disposer de points de contact nationaux opérationnels chargés de relayer les informations pertinentes. Ces points de contact devraient être disponibles 24h/24 et 7j/7 et capables de répondre, dans un délai de 8 heures, à une demande urgente d'un autre Etat membre. Le texte ne donne pas d'information quant à l'organisation et la composition des équipes de ces points de contacts.


Cette proposition de directive doit désormais être votée par le Conseil. Une fois adoptée, les 28 Etats membres auront deux ans pour transposer la directive dans leurs droits nationaux.

Ce texte, qui vise à mettre en oeuvre une approche cohérente et globale de lutte contre la cybercriminalité, se situe dans le prolongement de la publication d'une stratégie commune de cybersécurité ainsi d’une proposition de directive relative à la sécurité des réseaux et de l’information. (2)

Cependant, face aux cybermenaces, les Etats membres n'attendent pas que la politique commune de l'Union soit définitivement adoptée pour agir aux niveaux nationaux et commencer à s’organiser. C'est ainsi qu'en avril 2013, la France a publié un nouveau Livre blanc sur la Défense et la Sécurité nationale. Ce livre blanc définit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques. (3) De même, le gouvernement britannique vient d'entériner un accord visant à lutter contre les cybermenaces, avec neuf sociétés du secteur des télécommunications, de la défense, de l’aéronautique et des technologies de l’information. Cet accord a pour objectif d'établir un environnement collaboratif propice au partage du savoir et de l’expertise en matière de cyberdéfense. Il comporte plusieurs volets, tels que la protection des infrastructures, la surveillance préventive des systèmes ennemis et la sécurisation des réseaux au sein des agences gouvernementales. (4)


                                                     * * * * * * * * * *

(1) Résolution législative du Parlement européen du 4 juillet 2013 sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision-cadre 2005/222/JAI du Conseil.

(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).

(3) Voir notre article "Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale", publié le 21 mai 2013 sur le blog du Cabinet (http://dwavocat.blogspot.fr/).

(4) Voir un article "Cyberdéfense : le Royaume-Uni consolide son arsenal", publié le 5 juillet 2013, sur http://www.itespresso.fr/.


Betty SFEZ - Avocat

Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com/
Juillet 2013