L’utilisation de drones pour le maintien de l’ordre validée par le Conseil d’Etat

 

Ce qu’il faut retenir

Le Conseil d’Etat a validé le décret définissant les conditions d’utilisation, par les forces de l’ordre, de caméras embarquées sur des drones pour le maintien de l’ordre.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-l-utilisation-de-drones-pour-le-maintien-de-l-ordre-validee-par-le-conseil-d-etat

Loi SREN : dynamiser la concurrence sur le marché du Cloud

 

 Ce qu’il faut retenir

La loi Sécurité et Régulation de l’Espace Numérique (“loi SREN”) a été adoptée le 21 mai 2024. L’un des objectifs de la loi est de réduire la dépendance des utilisateurs aux fournisseurs de services Cloud (particulièrement les GAFAM) en prévoyant un certain nombre de mesures pour fluidifier le marché, mais également de renforcer la protection des données stratégiques et sensibles de l’administration dans le cadre de l’utilisation de ces services.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-loi-sren-dynamiser-la-concurrence-sur-le-marche-du-cloud

Prévention de la diffusion de contenus terroristes en ligne : les nouvelles règles applicables

L’un des axes de la lutte anti-terroriste et contre la radicalisation porte sur la lutte contre la diffusion sur internet de contenus à caractère terroriste. L’Union européenne a renforcé sa réglementation en la matière avec l’adoption du règlement relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, ou règlement “TCO”, le 29 avril 2021. (1)

En France, après l’adoption de la loi du 24 août 2021, la réglementation relative à la lutte contre la diffusion de contenus terroristes en ligne vient d’être complétée par la loi du 16 août 2022. (2)

Cette loi poursuit et complète l’adaptation du droit français à la lutte contre la diffusion de contenus terroristes suite à l’entrée en application du règlement européen le 7 juin 2022. la nouvelle réglementation précise les conditions relatives à la notification et au retrait des contenus à caractère terroriste, les sanctions applicables pour non-respect de l’obligation de retrait, et enfin, les recours ouverts aux hébergeurs et fournisseurs de contenus pour contester une injonction de retrait de contenus.


1. Les règles relatives au retrait des contenus à caractère terroriste

La notion de “contenu à caractère terroriste” est précisément définie et les différents cas de figure listés dans le règlement comme “un ou plusieurs des types de matériel suivants, à savoir le matériel qui:
    a) incite à la commission de l’une des infractions visées à l’article 3, paragraphe 1, points a) à i), de la directive (UE) 2017/541, lorsque ce matériel prône la commission d’infractions terroristes, directement ou indirectement, par exemple en glorifiant les actes terroristes, entraînant ainsi le risque qu’une ou plusieurs de ces infractions soient commises ;
    b) sollicite une personne ou un groupe de personnes pour commettre l’une des infractions visées à l’article 3 (…) de la directive (UE) 2017/541, ou pour contribuer à la commission de l’une de ces infractions;
    c) sollicite une personne ou un groupe de personnes pour participer aux activités d’un groupe terroriste au sens de l’article 4, point b), de la directive (UE) 2017/541;
    d) fournit des instructions concernant la fabrication ou l’utilisation d’explosifs, d’armes à feu ou d’autres armes, ou de substances nocives ou dangereuses, ou concernant d’autres méthodes ou techniques spécifiques aux fins de commettre l’une des infractions terroristes visées à l’article 3 (…) de la directive (UE) 2017/541 ou de contribuer à la commission de l’une de ces infractions;
    e) constitue une menace quant à la commission d’une des infractions visées à l’article 3 (…) de la directive (UE) 2017/541.”

L’article 6-1 de la LCEN, modifié par la loi du 24 août 2021 et entré en vigueur le 7 juin 2022,  impose un délai très court - 24 heures - aux hébergeurs techniques et aux fournisseurs de contenus pour retirer ou bloquer les contenus à caractère terroriste. Ce délai court à compter de la réception d’une injonction de retrait de la part des autorités. En France, l’autorité compétente pour émettre les injonctions de retrait ou de blocage de contenus à caractère terroriste est l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication - OCLCTIC.

Les injonctions de retrait doivent notamment être motivées et inclure l’URL exacte pour permettre aux destinataires d’accéder directement au contenu litigieux et prendre les mesures de suspension ou de blocage qui s’imposent.
 
Les fournisseurs de services d’hébergement destinataires d’une injonction de retrait informent l’autorité compétente du retrait ou du blocage du contenu en cause et des date et heure de cette action.  

Un modèle d’injonction de retrait et un modèle de réponse aux autorités figurent en annexe au règlement TCO.

L’OCLCTIC peut par ailleurs communiquer les adresses électroniques dont les contenus auraient un caractère terroriste, aux moteurs de recherche ou aux annuaires pour que ces derniers désindexent lesdits contenus, notamment lorsque le retrait n’a pas été effectué dans les délais impartis.

L’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) est identifiée comme l’organisme compétent, par l’intermédiaire d’une personnalité qualifiée désignée en son sein, pour s’assurer notamment de la régularité des demandes de suppression et de déréférencement de contenus.

L’Arcom est également en charge de recueillir auprès des hébergeurs les informations nécessaires au suivi de l’application de leur obligation de retrait ou de blocage et de les mettre en demeure de se conformer à leurs obligations de retrait ou de rétablissement éventuel de contenus litigieux


2. Les sanctions applicables pour non-respect de l’obligation de retrait

Ces dispositions sont complétées par les nouveaux articles 6-1-1 à 6-1-5 de la LCEN qui précisent les modalités pratiques de la mise en oeuvre des injonctions de retrait et notamment les sanctions pénales applicables pour non-respect de l’obligation de retrait ou de blocage de contenus à caractère terroriste.

Le montant des sanctions est à la hauteur de l’enjeu de sécurité publique. En effet, l’absence de retrait ou de blocage d’un tel contenu par un hébergeur ou un éditeur de contenu dans le délai d’une heure à compter de la réception d’une injonction est punie d’un an d’emprisonnement et de 250.000 euros d’amende, ou 1.250.000 euros d’amende pour les personnes morales, qui peuvent par ailleurs être déclarées pénalement responsables. Lorsque cette infraction est commise “de manière habituelle” par une personne morale, l’amende peut atteindre 4% de son chiffre d’affaires mondial pour l’exercice N-1.

En cas de non-respect de leurs obligations de diligence vis-à-vis de ces contenus, l’Arcom peut en outre prononcer une amende administrative à l’encontre des hébergeurs fautifs, pouvant atteindre 4% de leur chiffre d’affaires mondial pour l’exercice N-1. Le montant de la sanction prend en considération plusieurs critères d’appréciation, tels que la nature, la gravité et la durée du manquement, le caractère intentionnel ou négligent du manquement, son caractère répétitif ou non, la coopération de l’hébergeur avec les autorités compétentes, etc.


3. Quels recours pour les hébergeurs et fournisseurs de contenus contre les injonctions de retrait de contenus ?

La loi prévoit différentes voies de recours aux hébergeurs et fournisseurs de contenus pour contester une injonction de retrait.

Les fournisseurs services d’hébergement et de contenus, ainsi que la personnalité qualifiée désignée par l’Arcom, peuvent demander l’annulation d’une injonction de retrait ou de blocage au président du tribunal administratif dans un délai de 48 heures à compter de sa réception par l’hébergeur, ou pour le fournisseur de contenu, à compter du moment où il a été informé du retrait du contenu par l’hébergeur.

De même, les fournisseurs de service d’hébergement et de contenu peuvent demander à la juridiction administrative d’annuler la décision motivée de la personnalité qualifiée désignée par l’Arcom, dans un délai de 48 heures à compter de la notification de cette décision.

Le président du tribunal administratif statue sur la légalité de l’injonction de retrait ou de la décision motivée dans les 72 heures de sa saisine.

    La plateforme Pharos permet à toute personne de signaler les contenus illicites, et notamment les contenus à caractère terroriste. (3) Ces signalements sont ensuite traités par l’OCLCTIC qui peut demander aux hébergeurs et aux fournisseurs de contenus le retrait desdits contenus dans le délai de 24 heures, ou leur blocage par les fournisseurs d’accès et les moteurs de recherche.

Selon les autorités, en 2021 l’OCLCTIC a prononcé près de 15.000 demandes de retrait auprès des hébergeurs et des fournisseurs de contenus.


                                                        * * * * * * * * * * *


(1) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, ou règlement “TCO” (terrorist content online)

(2) Loi n°2021-1109 du 24 août 2021 confortant le respect des principes de la République ;
Loi n°2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne, codifiée aux articles 6-1-1 à 6-1-5 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)

(3) Plateforme Pharos accessible à : https://www.internet-signalement.gouv.fr/PharosS1/

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2022

Sécurité des réseaux : la directive NIS a été transposée en droit français

La directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Directive « NIS » 2016/1148) a été transposée en droit français le 26 février 2018.

En résumé, la loi de transposition prévoit des obligations accrues en matière de sécurité informatique.

Deux nouvelles catégories d’entreprises sont identifiées :
   - les opérateurs de services essentiels (OSE) (correspondant globalement aux OIV – opérateurs d’importance vitale) qui regroupent les entreprises opérant dans les domaines de l'énergie, des transports, de la banque, des infrastructures de marchés financiers, de la santé, de la fourniture et distribution d'eau potable et les fournisseurs d'infrastructures numériques, et
   - les fournisseurs de services numériques (FSN) qui regroupent notamment les entreprises fournissant des services de cloud computing, les places de marché, et les moteurs de recherche.

Ces entreprises devront mettre en œuvre les règles de cybersécurité élaborées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ces opérateurs devront informer l’ANSSI en cas d’incidents de sécurité susceptibles d’avoir un impact significatif sur la continuité des services qu’ils assurent. Tout manquement à ces obligations de sécurisation des réseaux, d’absence de déclaration d’incident ou de blocage aux opérations de contrôle sera passible d’amendes de 75.000€ à 125.000€ pour les OSE selon le type d’infraction, et de 50.000€ à 100.000€ pour les FSE.
 Un décret d’application précisant la liste des OSE et des FSN opérant sur le territoire français devrait venir compléter la loi avant le 9 novembre 2018.

                                                                      * * * * * * * * * * *

(1) Loi  n°2018-133 du 26 février 2018 portant diversesd ispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité

Bénédicte DELEPORTE

Avocat

Deleporte Wentz Avocat

Mars 2018

Cybermalveillance - lancement d’une plateforme d’accompagnement des victimes

La cybermalveillance recouvre les actes de cybercriminalité tels que le hameçonnage (phishing - faux emails comprenant des liens vers des sites frauduleux pour collecter mots de passe et autres données confidentielles des utilisateurs), la diffusion de virus par messagerie ou SMS (logiciel contenant du code malveillant), ou la diffusion de rançongiciels (ransomware - logiciels qui forcent l'utilisateur au versement d'une rançon pour récupérer des données bloquées), infractions punies pénalement.

Ces activités ne cessent de se développer depuis plusieurs années et ciblent tous les acteurs de la société : particuliers, entreprises de toutes tailles et de tous secteurs d’activités et administrations. Malgré les conseils régulièrement diffusés concernant les mots de passe à adopter, la nécessité des mises à jour logicielles, etc., le nombre de victimes explose.

Fin mai 2017 en France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a lancé un projet de plateforme d’aide aux victimes d'actes de cybermalveillance. Cette première phase d’expérimentation était limitée à la région Hauts de France.

La plateforme Cybermalveillance.gouv.fr a été lancée sur l’ensemble du territoire français le 17 octobre 2017.

Les objectifs de cette plateforme, à finalité à la fois pédagogique et curative, sont triples :
    1 - la mise en place de campagnes de prévention et de sensibilisation à la sécurité du numérique ;
    2 - pour les victimes d’un acte de cybermalveillance, la mise en relation des victimes via la plateforme avec des prestataires de proximité susceptibles de restaurer leurs systèmes ;
    3 - la création d’un observatoire du risque numérique permettant de l’anticiper.

La plateforme cybermalveillance.gouv.fr est conçue comme un guichet unique. Après l’établissement d’un diagnostic de la situation de la victime (particulier, entreprise (PME/TPE) ou collectivité territoriale - hors OIV), la plateforme permet sa mise en relation avec des prestataires de proximité, compétents et présents sur l’ensemble du territoire français, des administrations de I‘État (Gendarmerie, Police, représentants locaux de I’ANSSI) ou des collectivités et acteurs locaux (chambres consulaires, fédérations professionnelles, réseaux “transition numérique”, etc.).

Les victimes sont guidées, lors de leur déclaration d’acte de cybermalveillance, pour l’identification du problème : virus, blocage informatique suite à l’activation d’un rançongiciel, piratage (réseau social, compte bancaire, messagerie, etc.). À la fin de la déclaration, les victimes sont informées sur les étapes suivantes de la procédure : déposer une plainte, prévenir sa banque, faire appel à un expert informatique…

L’un des objectifs de la plateforme étant la prévention et la sensibilisation aux cyber risques, plusieurs outils et démarches de sensibilisation sont proposés : principes de base à respecter pour assurer sa cyber sécurité, guides de bonnes pratiques en matière de cyber sécurité.

Enfin, la plateforme doit permettre de collecter et centraliser l’information sur les actes de cybermalveillance : types d’atteintes cyber, nombre et profil des victimes.

Ce dispositif est incubé par l’ANSSI et copiloté avec le ministère de l’Intérieur.


                                                                             * * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité

La loi Informatique et Libertés impose une obligation générale de sécurité au responsable de traitement, qui “est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.” (1)

En cas d’incident de sécurité, l’obligation de notification des violations de données personnelles est actuellement limitée à certaines catégories d’organismes, en vertu de plusieurs textes nationaux ou européens (notamment le règlement e-Privacy, le règlement eIDAS, la directive NIS, la directive Paquet Télécom, la loi visant les systèmes d’information d’importance vitale, la loi de modernisation du système de santé). (2)

Par exemple, la loi Informatique et Libertés (art. 34 bis) prévoit une obligation de notification des violations de données personnelles uniquement aux fournisseurs de services de communications électroniques accessibles au public, à savoir, les opérateurs déclarés auprès de l’ARCEP (fournisseurs de téléphonie fixe et mobile et FAI). Par ailleurs, le Code de la défense impose à certains organismes publics et privés de notifier des incidents de sécurité à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). (3) Cette obligation de notification est cependant limitée aux opérateurs d’importance vitale (OIV).

Le règlement général sur la protection des données (RGPD), qui doit entrer en application le 25 mai 2018, comprend des dispositions renforçant cette obligation de sécurité. Ainsi, l’article 32 “Sécurité du traitement” dispose : (2)

“1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (…), le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
    a) la pseudonymisation et le chiffrement des données à caractère personnel ;
    b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;    d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)”

L’article 33 du RGPD impose une nouvelle obligation de notification à l'autorité de contrôle d'une violation de données à caractère personnel. Cette obligation s’appliquera désormais à tout organisme, et ne sera plus limitée à certaines catégories d’activités.

Le 26 juillet 2017, la CNIL a publié des recommandations relatives à la procédure de notification d’incidents de sécurité aux autorités. (4)

Les organismes doivent donc s’assurer de la conformité de leurs procédures internes à la loi, notamment en matière de sécurité de leurs systèmes informatiques et désormais, en matière de notification d’incidents de sécurité aux autorités. Pour ce faire, les organismes peuvent s’appuyer sur les textes mais également sur le processus de gestion des incidents défini par la norme ISO/IEC 27035.

Ainsi, la procédure de gestion des incidents peut être découpée en cinq étapes, comme suit :

    1. Créer un annuaire et des procédures de gestion des incidents afin :
    . d’identifier l’ensemble du personnel interne impliqué dans la gestion des incidents, de formaliser cette liste et de la tenir à jour ;
    . d’identifier les parties prenantes externes, de formaliser cette liste et de la tenir à jour (prestataires de service impliqués, autorités destinataires des notifications, liens vers les formulaires de notification, etc) ;
    . de formaliser et de tester les procédures internes de gestion des incidents.
    2. Mener une veille (sources internes ou externes (fournisseurs, ANSSI, ASIP, autres IRT (Incident Response Team)/CERT (Computer Emergency Response Team), fils RSS) et mettre en œuvre des outils de détection des incidents et de remontée d’alertes permettant de détecter les activités anormales, suspectes, voire malveillantes, et des outils de détection des événements de sécurité, dans le respect des droits des utilisateurs;
    3. Qualifier l’incident notamment dans le but de déterminer la(les) autorité(s) destinataires de la notification, le cas échéant ;
    4. Résoudre et notifier l’incident à(aux) autorité(s) de régulation ;
    5. Faire un bilan de l’incident et mettre en oeuvre les actions correctives nécessaires afin d’empêcher la reproduction de l’incident.

En cas de violation de données personnelles, l’organisme doit documenter l’incident dans un registre interne reprenant les faits concernant l’incident de sécurité, ses effets et les mesures prises pour y remédier.

Concernant plus particulièrement le RGPD, la CNIL émet les recommandations suivantes pour gérer au mieux la procédure de notification des violations de données à caractère personnel. En cas d'une violation de données, l’organisme devra porter à la connaissance de la CNIL, via un téléservice opérationnel en mai 2018, les éléments suivants :
    - la description de la nature de la violation de données à caractère personnel ;
    - les catégories de données concernées ;
    - le nombre approximatif de personnes concernées par la violation ;
    - les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
    - le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues, et décrire les conséquences probables de la violation de données et préciser les mesures prises ou à prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Par ailleurs, en cas de risque élevé pour les personnes concernées, le responsable de traitement devra informer, en termes clairs et simples, les utilisateurs touchés par l’incident, sauf si le responsable a pris, préalablement ou postérieurement à la violation, des mesures techniques ou organisationnelles appropriées. Dans le cas où la communication aux personnes concernées exigerait des efforts disproportionnés, une communication publique ou autre mesure similaire pourra être réalisée. La CNIL pourra demander au responsable de traitement ne l’ayant pas fait, d’effectuer cette communication.

Dès lors que de nouveaux éléments sont découverts par l’organisme, ceux-ci devront être communiqués à la CNIL.


Jusqu’à présent, l’obligation de notification des incidents de sécurité n’incombait qu’à certaines catégories d’organismes. Le nombre de cas de violation rendu public reste donc limité. Cependant, avec la multiplication des obligations de notification des incidents de sécurité aux autorités de régulation et de contrôle, mais également aux personnes concernées, de plus en plus d’incidents seront rendus publics. Il sera donc nécessaire, pour les organismes victimes d’une violation de données, de gérer leur réputation auprès des marchés, en parallèle de la notification d’incident et des actions correctives. Dans ce domaine, la transparence et l’information des personnes concernées et du public sur les mesures correctives mises en oeuvre sont des éléments clés.

                                                                      * * * * * * * * * * * *


(1) Article 34, loi Informatique et Libertés du 6 janvier 1978, modifiée

(2) Règlement (UE) n°611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques ; Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l’Union ; Directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques ; Décret n°2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d'information

(3) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

(4) Site de la CNIL


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2017

Gérer et protéger ses données à l’ère du numérique : un impératif de bonne gouvernance pour l’entreprise

Le constat n’est plus neuf : nous vivons désormais dans une économie de la donnée (ou de l’information). Ainsi, un article récemment publié dans l’hebdomadaire The Economist était intitulé “The world’s most valuable resource is no longer oil, but data” (la ressource la plus précieuse dans le monde n’est plus le pétrole, mais la donnée). (1)

Nous vivons également dans une société du partage, où internet, les réseaux sociaux et les sites de “peer-to-peer” remettent en cause la notion de propriété, qu’il s’agisse de la propriété des données, ou la propriété intellectuelle.

 

Une grande partie des données produites ou collectées par les entreprises (données de savoir-faire, données économiques, données personnelles) reste protégée, et leur divulgation non-autorisée est sanctionnée. Toutefois, l’entreprise doit mettre en oeuvre les moyens adéquats pour que cette protection soit effective, sous peine de voir son image de marque dégradée, de perdre des marchés, ou même de voir sa responsabilité engagée en cas d’atteinte à la sécurité des données personnelles de ses salariés et clients. Or, de grands volumes de données confidentielles se retrouvent en accès libre ou à la vente sur internet. La fuite de données peut engager la responsabilité de la personne à l’origine de cette fuite (ou vol de données), mais aussi celle du responsable du traitement en cas de fuite de données personnelles.

Dans le présent article, nous identifions les différentes catégories de données protégées et les règlementations qui leur sont applicables, puis compte tenu des risques juridiques, économiques et technologiques engendrés par les fuites de données, nous rappelons la nécessité de définir et déployer une politique de gouvernance des données et de l’information au sein de l’entreprise. (2)

1. Différentes catégories de données soumises à des règlementations distinctes

Les données produites et collectées par les entreprises sont de natures diverses. Celles-ci comprennent notamment les données industrielles (informations et données relatives aux produits et services développés et commercialisés par l’entreprise, à ses procédés de production, à son savoir-faire spécifique, les brevets, les dessins et modèles), les données économiques (données financières, les marques), les données commerciales (listes de clients, contrats), enfin, les données personnelles des salariées et des clients et prospects.

Même si toutes ces données ne sont pas nécessairement protégées, l’ensemble des données de l’entreprise relèvent de son identité ou de sa spécificité et permettent de la distinguer de ses concurrentes. Plus particulièrement, dans une économie de marché, son savoir-faire lui permet de créer un avantage concurrentiel, économique et industriel, qui peut être sévèrement altéré en cas de violation de ces données.

            1.1 L’évolution de la protection juridique des secrets d’affaires

Une première catégorie de données concerne les secrets d’affaires.

La valeur, et donc la protection des secrets d’affaires, repose en grande partie sur la confidentialité.

Les secrets d’affaires sont protégés en droit français, notamment sur le fondement de la concurrence déloyale, lorsqu’il peut être démontré qu’une personne (concurrent, salarié) a utilisé des données ou informations d’une entreprise A au bénéfice d’une entreprise B, et au détriment de la première. L’entreprise A, (victime du “vol” de données) doit toutefois prouver le détournement de ses données (par exemple, son fichier clients) et pouvoir démontrer un préjudice commercial (baisse de chiffre d’affaires, atteinte à son image de marque), en lien avec le détournement de données.

Suivant le type d’atteinte en cause, des poursuites pénales peuvent également être engagées sur les fondements suivants :

            - la violation du secret professionnel (art. 226-13 du code pénal : “La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende.”),

            - la violation du secret des correspondances (art. 226-15 : “Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions.”),

            - l’abus de confiance (art. 314-1 : “(…) le fait par une personne de détourner, au préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou d'en faire un usage déterminé.

L'abus de confiance est puni de trois ans d'emprisonnement et de 375 000 euros d’amende.”),

            - l’atteinte ou le maintien frauduleux dans un système de traitement automatisé de données (STAD), (art. 323-1 : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d’amende.”) (3),

            - l’usurpation d’identité numérique, par des actions de phishing par exemple, (art. 226-4-1 : “Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15.000 € d’amende.

Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.”) (4).

Des poursuites peuvent aussi être engagées sur le fondement du vol, de l’escroquerie, de la contrefaçon (voir ci-dessous).

Cependant, la protection des secrets d’affaires est aujourd’hui imparfaite, tant en droit français, qu’à l’international. En effet, chaque pays tend à avoir sa propre définition de la notion de “secrets d’affaires” et ne leur accorde pas le même niveau de protection. Des améliorations étaient donc nécessaires.

Plusieurs propositions de lois relatives à la protection des secrets d’affaires ont été déposées en France, entre 2009 et 2015. La dernière tentative remonte au projet de loi pour la croissance (loi “Macron" (5), dans lequel un chapitre sur la protection du secret des affaires avait été proposé, sans suite.

Finalement, au niveau européen, la directive sur la protection des savoir-faire et des secrets d’affaires a été adoptée le 8 juin 2016. (6) L’objet de cette directive est d’établir une définition “homogène” du secret d’affaires, élaborée de façon à couvrir non seulement le savoir-faire, mais aussi les informations commerciales et technologiques, sous réserve de leur valeur commerciale et de l’intérêt à les garder confidentiels.

Le secret d’affaires est défini comme comprenant : “des informations qui répondent à toutes les conditions suivantes :

a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles,

b) elles ont une valeur commerciale parce qu'elles sont secrètes,

c) elles ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes." (7)

La directive sur les secrets d’affaires doit être transposée dans les droits des Etats membres au plus tard le 9 juin 2018.

            1.2 Les développements et inventions protégés par le droit de la propriété intellectuelle et industrielle

Les données et informations de l’entreprise comprennent également des documents, produits et services qui font partie intégrante de son savoir-faire, et sont protégés par le droit de la propriété intellectuelle. Il peut s’agir de documents produits par la société, de logiciels, de bases de données, de produits pouvant être protégés par le droit des dessins et modèles et/ou par le droit des brevets, sous réserve évidemment de remplir les conditions requises pour bénéficier de cette protection.

Contrairement aux secrets d’affaires, les données et informations protégées par le droit de la propriété intellectuelle ne sont pas confidentielles et ont vocation à être diffusées et/ou commercialisées. Toutefois, leur diffusion ne doit pas pour autant porter atteinte à leur protection juridique.

Pour rappel, l’utilisation des logiciels et des bases de données est soumise à des conditions de licence (même pour les logiciels open source) ; la reproduction et la réutilisation de documents est généralement soumise à l’autorisation préalable de leur auteur (ou de l’entreprise au sein de laquelle ces documents ont été développés) ; et la fabrication de produits brevetés par un tiers est également soumise à des accords contractuels.

L’utilisation, la reproduction, la diffusion non autorisée d’oeuvres protégées par le droit de la propriété intellectuelle relève de la contrefaçon. (8) En droit français, le délit de contrefaçon est sanctionné par une amende maximale de 300.000 euros et puni de trois ans d’emprisonnement.

            1.3 Les données à caractère personnel

Enfin, les données à caractère personnel ont leur propre régime de protection, avec la loi Informatique et Libertés en France, bientôt remplacée par le Règlement général européen sur la protection des données (RGPD), devant entrer en application le 26 mai 2018. (9)

Les données à caractère personnel sont définies comme toutes données pouvant identifier une personne physique, directement ou indirectement. Ces données comprennent les nom, prénoms, adresse, date de naissance, numéros de téléphone, de sécurité sociale, de compte bancaire, les données de biométrie (empreintes digitales, voix), etc.

Les données à caractère personnel sont la “propriété” de leurs titulaires. Les entreprises collectent toutes des données personnelles, qu’il s’agisse des données de leurs employés ou des données de leurs clients et prospects, ou dans le domaine de la santé, des données de patients. Or, en qualité de responsables de traitement de ces données, les entreprises sont soumises à des obligations de protection des données, qui recouvrent notamment l’obligation d’intégrité des données, de confidentialité et de sécurité.

Ainsi, l’entreprise, responsable de traitement est tenue de protéger les données personnelles contre la perte, la destruction ou les dégâts d’origine accidentelle pouvant intervenir.

Le RGPD comprend une série de règles strictes, incombant au responsable du traitement, concernant la sécurité des données, sous réserve “de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques.”

Cette obligation de sécurité couvre les données elles-mêmes, les moyens techniques pour assurer leur conservation et leur accessibilité, et les règles d’accès.

Ainsi, l’article 32 du RGPD dispose que “1. (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

            a) la pseudonymisation et le chiffrement des données à caractère personnel ;

            b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

             c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

            d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, (…).”

En cas de violation de données à caractère personnel, et dès lors que cette violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, le responsable du traitement est tenu de notifier la violation à l'autorité de contrôle compétente (en France, la CNIL) dans les meilleurs délais. (art 33 du RGPD)

Toute violation des dispositions relatives à la sécurité des données (articles 32 et suivants du RGDP) est passible d’une amende administrative d’un montant maximum de 10.000.000 d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise. (art 83 du RGPD)

Compte tenu des risque commerciaux et industriels, ainsi que des risques de mise en cause de la responsabilité de l’entreprise, il est donc impératif de définir et déployer des mesures de protection des données et des secrets d’affaires de l’entreprise.

2. Comment protéger l’entreprise : la mise en oeuvre d’une politique de gouvernance des données

L’entreprise se doit de protéger ses données contre leur divulgation non autorisée et/ou non maîtrisée.

La divulgation non autorisée des données peut non seulement avoir pour conséquence des pertes de marché dues à la perte des avantages industriels et commerciaux de l’entreprise ; mais comme nous l’avons vu ci-dessus, celle-ci peut également voir sa responsabilité engagée en sa qualité de responsable de traitement, en cas de divulgation non autorisée de données à caractère personnel.

Les cas de fuites de données peuvent être dus à des actes malveillants. Ils sont aussi trop souvent dus à des négligences au sein de l’entreprise, telles que l’absence de politique de gestion des informations, des systèmes d’information (SI) défaillants (pare-feux non à jour, mauvaise gestion des droits d’accès aux équipements et des mots de passe).

            2.1 Définir la politique de protection des données de l’entreprise

A l’ère de l’open space, de l’aplanissement de la pyramide hiérarchique et de la fin du management en silos, la définition d’une politique rigoureuse de gouvernance des données reste indispensable, et ce quelle que soit la taille de l’entreprise. En effet, tous les collaborateurs et intervenants de l’entreprise n’ont pas vocation à avoir accès à toutes les données de l’entreprise.

Les risques de divulgation d’informations sont multiples et comprennent par exemple :

            - la communication non autorisée par des employés, ex-employés, consultants, intérimaires, stagiaires, ou prestataires, à des tiers (clients, concurrents, …), que cette communication soit malveillante ou négligente,

            - les discussions ou réunions d’affaires entre collègues, et les entretiens téléphoniques, dans des espaces publics (restaurant, train, avion),

mais aussi, tous détournements de nature informatique, tels que :

            - les fuites de données sur internet (serveurs non ou mal protégés), et les cyberattaques informatiques (hacking), ou

            - le détournement frauduleux de données suite à des campagnes de phishing. (10)

Les différentes parties prenantes de l’entreprise doivent contribuer à la définition de la politique de gouvernance des données : la direction des systèmes d’information (DSI), mais également les directions juridique, financières, RH, marketing, ventes, le cas échéant R&D.

La sensibilisation doit comprendre des règles relatives à la destruction (suppression) de documents, et des règles absolues relatives à l’interdiction de mettre des données et informations en ligne, sur des systèmes ouverts.

Enfin, il convient d’être particulièrement attentif à la gestion des départs de l’entreprise et des fins de contrats, afin de minimiser les fuites de données (secrets d’affaires, listes de clients, listes de contrats, etc.).

Cette politique pourra comporter une charte de gouvernance des données qui, telle que la charte informatique, devrait être distribuée et signée par chaque collaborateur et intervenant dans l’entreprise. L’objet de ce document est de sensibiliser chaque collaborateur à la valeur des données et du savoir-faire de l’entreprise. L’entreprise peut même compléter cette action de sensibilisation avec un tutoriel consacré à la bonne gestion des données.

            2.2 Définir les règles techniques de protection des données de l’entreprise

La politique de protection des données de l’entreprise doit également comprendre des règles techniques. Celles-ci se recoupent largement avec les règles devant figurer dans la charte informatique de l’entreprise.

Ces règles comprennent notamment :

            - la gestion des identifiants et des mots de passe,

            - la clôture des comptes utilisateur dès le départ d’un employé, consultant, etc.,

            - les règles applicables à l’utilisation, par les intervenants dans l’entreprise (employés, consultants), de leurs propres appareils - ou politique de BYOD (Bring your own device),

mais également les règles applicables aux collaborateurs de la DSI :

            - une obligation de confidentialité renforcée,

            - les règles de mise en oeuvre des nouvelles versions des logiciels utilisés, y compris des pare-feux,

            - les règles applicables à l’utilisation des services en cloud et des accès à ces services,

            - les conditions d’accès (physique et technique) aux serveurs, etc.

Des volumes massifs de données confidentielles, secrets d’affaires mais aussi données personnelles, dérobées, copiées, voire même fuitées, se retrouvent sur internet, en accès libre ou stockées dans le “dark web” et disponibles à la revente par des malfaiteurs. La mise en oeuvre, au sein de l’entreprise, d’une politique robuste de protection des données a une double finalité : sensibiliser les collaborateurs à la valeur du savoir-faire et des données de leur entreprise, et minimiser les fuites de données. La définition et la mise en oeuvre d’une politique de protection des données est enfin un moyen pour l’entreprise, et ses dirigeants, de limiter leur responsabilité en cas de violation de données personnelles. 

                                                                        * * * * * * * * * * * *  

(1) “The world’s most valuable resource is no longer oil, but data” in The Economist, 6 mai 2017

(2) Pour rappel, une “donnée” est généralement considérée comme un élément brut, non interprété ; alors qu’une “information” est une donnée interprétée, analysée. Les textes ne font pas nécessairement la distinction entre ces deux notions et nous utilisons ici le terme donnée pour couvrir indifféremment les notions de donnée et d’information.

(3) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n°2012-410 du 27 mars 2012 relative à la protection de l'identité

(4) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure

(5) Loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques (Loi “Macron”)

(6) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites

(7) Directive du 8 juin 2016, art 2. Définitions

(8) La contrefaçon est définie à l’article L335-2 du code de la propriété intellectuelle

(9) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(10) Voir à ce sujet “Le facteur humain est de plus en plus au coeur des cyberattaques”, in L’Usine Digitale, 9 juin 2017

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2017
 

De la science-fiction au droit : vers un cadre juridique européen de la robotique à l’aube d’une nouvelle révolution industrielle

Le 16 février 2017, le Parlement européen a adopté une résolution comprenant une série de recommandations à l’attention de la Commission européenne, relatives aux règles de droit civil en matière de robotique. (1) Par le biais de ce document, le Parlement demande à la Commission de présenter une proposition de directive sur la base de ces recommandations. Ce texte a été adopté après deux ans de discussions, cette durée ayant été nécessaire pour mener une réflexion riche et approfondie sur un sujet protéiforme, amené à révolutionner notre société civile, industrielle et économique.

La robotique recouvre non seulement les robots, l’intelligence artificielle, mais également les bots, les drones, les véhicules autonomes. Ce domaine soulève des questions éthiques et juridiques qu’il est nécessaire d’aborder dès maintenant à un niveau supra national, sachant que la robotique est déjà très présente dans les secteurs de l’industrie automobile et de l’électronique.

La résolution du Parlement souligne notamment la nécessité de définir un cadre éthique autour de la conception, la programmation et l’utilisation des robots, de définir un cadre légal autour de la robotique pour permettre son développement harmonisé et juridiquement sécurisé, et enfin de définir de nouvelles règles de responsabilité pour les actes réalisés par les robots intelligents.


1. Un cadre éthique qui s’appuie sur les lois de la robotique d’Asimov

La “bonne” science-fiction s’avère souvent prémonitoire de l’évolution technologique et sociologique. De nombreux outils technologiques de plus en plus complexes apparaissent peu à peu dans notre univers quotidien, inspirés des “gadgets” communicants de la saga Star Trek (smart phones et objets connectés), en passant par les films Minority Report et Moneyball (analyse prédictive), ou 2001 l’Odyssée de l’Espace et I, Robot (robots intelligents). (2)

Dans ce sens, Issac Asimov, célèbre auteur de science-fiction du XXé siècle, a défini les trois lois de la robotique, régissant les relations entre l’homme et le robot :
    1. un robot ne peut porter atteinte à un être humain, ni, en restant passif, permettre qu'un être humain soit exposé au danger ;
    2. un robot doit obéir aux ordres qui lui sont donnés par un être humain, sauf si de tels ordres entrent en conflit avec la première loi ;
    3. un robot doit protéger son existence tant que cette protection n'entre pas en conflit avec la première ou la deuxième loi. (3)

Ces lois ont été reprises par les membres du Parlement européen pour établir les fondements de leurs recommandations sur l’ébauche du droit civil européen de la robotique, rappelant au passage “les valeurs humanistes intrinsèquement européennes et universelles qui caractérisent la contribution de l’Europe à la société”. Ces lois doivent s’appliquer en particulier aux concepteurs, aux fabricants et aux opérateurs de robots.

Sur la base de ces fondements, le Parlement européen recommande de développer un cadre éthique clair, précis et efficace applicable à la conception, au développement, à la production, à l’utilisation et à la modification des robots.

Les robots doivent être au service de l’homme, en réalisant des tâches répétitives, difficiles ou dangereuses par exemple. Mais la robotique, par ses implications sociales, médicales et bioéthiques, pose également des risques sociétaux aux humains, notamment en matière de liberté, de sécurité, de santé, du respect de la vie privée et de la protection des données personnelles, de l’intégrité et de la dignité.

Concrètement, la résolution du Parlement comprend en annexe une charte sur la robotique, composée d’un code de conduite éthique pour les ingénieurs en robotique, d’un code de déontologie pour les comités d’éthique de la recherche, et des licences-types pour les concepteurs de robots et les utilisateurs.

Le code de conduite éthique pour les ingénieurs en robotique couvre toutes les activités de recherche et développement et rappelle l’obligation pour les chercheurs et les concepteurs de “la nécessité de respecter la dignité, la vie privée et la sécurité des personnes”. Ce cadre éthique de référence devrait se fonder sur les principes de bienfaisance (les robots agissent au mieux des intérêts de l’homme), de non-malfaisance (les robots ne doivent pas nuire à l’homme), d’autonomie (la capacité de prendre une décision en connaissance de cause et sans contrainte quant aux modalités d’interaction avec les robots), et de justice (répartition équitable des bénéfices liés à la robotique ; caractère abordable des robots utilisés dans la santé). Le code pose également les principes de droits fondamentaux, de précaution, de transparence, de sécurité, de réversibilité, de protection de la vie privée.

Le code de déontologie pour les comités d’éthique de la recherche met en avant le principe d’indépendance, afin d’éviter les conflits d’intérêts entre les chercheurs et les examinateurs du protocole d’éthique, et entre les examinateurs et les structures de gouvernance organisationnelles. Le code définit par ailleurs le rôle et la composition d’un comité d’éthique de la recherche ainsi que des règles de contrôle.


2. Les fondations d’un cadre juridique : définir la notion de robot et garantir le développement de la cyber-technologie

La résolution du Parlement comprend également plusieurs recommandations ayant pour objet de poser les bases d’un cadre juridique adapté à la robotique, harmonisé dans l’Union. Ces règles de droit doivent permettre l’utilisation transfrontalière des robots (principe de reconnaissance mutuelle), en évitant la fragmentation du marché européen.

    - La notion de “robot intelligent”
Le Parlement demande à la Commission de proposer des définitions communes au sein de l’Union européenne concernant les notions de systèmes cyber-physiques, de systèmes autonomes et de robots autonomes et intelligents, et leurs sous-catégories. Ainsi un “robot intelligent” comprendrait les caractéristiques suivantes :
. acquisition d’autonomie grâce à des capteurs et/ou à l’échange de données avec l’environnement (interconnectivité),
. capacité d’auto-apprentissage à travers l’expérience et les interactions,
. existence d’une enveloppe physique, même réduite,
. capacité d’adaptation de son comportement et de ses actes à son environnement, et
. non vivant au sens biologique du terme.

Un système d’immatriculation communautaire de certaines catégories de robots “avancés” pourrait être créé.

    - Les droits de propriété intellectuelle
Le Parlement attire par ailleurs l’attention sur la nécessité d’aborder la question des droits de propriété intellectuelle dans le domaine de la robotique, par une approche transversale et technologiquement neutre sur les divers secteurs dans lesquels la robotique pourra être utilisée.

    - Le droit au respect de la vie privée et la protection des données personnelles
L’application du droit au respect de la vie privée et de la protection des données personnelles dans les relations entre les humains et les robots est essentielle. En effet, les robots qui seront utilisés par les particuliers dans un environnement domestique pour un usage quotidien (véhicules autonomes, robots domestiques, robots de soins à la personne et robots médicaux) collecteront et traiteront des données personnelles. Ces robots seront généralement connectés, les données pourront donc être non seulement analysées mais également partagées.

Les règles communautaires sur le droit au respect de la vie privée ainsi que les dispositions du règlement général sur la protection des données (RGPD), notamment les règles relatives à la sécurité des systèmes, doivent s’appliquer à la robotique. Cependant, ces règles doivent pouvoir être complétées si nécessaire, pour prendre en compte les spécificités de la robotique.

    - Les questions de normalisation, sûreté et sécurité
Le développement de la robotique passe par l’élaboration de normes techniques harmonisées au niveau international pour éviter le morcellement du marché européen, garantir un niveau élevé de sécurité des produits et de protection des consommateurs. Par ailleurs, la communication entre les robots impliquera l’adoption de normes ouvertes et leur interopérabilité.

Afin d’éviter la fragmentation du marché européen, les tests, certificats et accords de mise de robots sur le marché, réalisés dans un pays, devraient être reconnus dans les autres Etats-membres.

    - L’éducation et l’emploi
La généralisation de l’utilisation des robots va entraîner une nouvelle révolution industrielle et sociétale. Même si l’impact réel sur l’emploi n’est pas encore connu, les emplois les moins qualifiés seront les plus affectés ainsi que les industries à forte densité de main-d’oeuvre. La robotisation induira notamment une plus grande flexibilité des compétences. A ce titre, le Parlement demande à la Commission de faire un suivi sur les évolutions à moyen et long terme concernant l’impact de la robotique sur l’emploi, et de supporter la formation au numérique afin d’aligner le marché de l’emploi sur la demande à venir.

Enfin, le Parlement recommande la création d’une Agence européenne pour la robotique et l’intelligence artificielle pour apporter une expertise technique, éthique et réglementaire aux niveaux communautaire et nationaux.


3. La question de la responsabilité : un robot autonome peut-il être assimilé à une personne responsable de ses actes ?

Un robot autonome (capacité d’adaptation, d’apprentissage) peut prendre des décisions et les mettre en pratique de manière indépendante. Son comportement comprend donc un certain degré d’imprévisibilité. Cette autonomie est néanmoins purement technique. En outre, plus un robot est autonome, moins il peut être considéré comme un outil contrôlé par un tiers (fabricant, opérateur, propriétaire). Ainsi, un statut spécifique - la personne électronique - pourrait être créé pour les robots autonomes.

Les règles juridiques actuelles en matière de responsabilité ne sont pas adaptées aux robots autonomes. Ceux-ci ne peuvent être reconnus responsables de leurs actes en cas de dommage causé à un tiers. En l’état actuel du droit, la responsabilité repose sur l’homme, à savoir le fabricant (responsabilité du fait des produits), l’opérateur, le propriétaire ou l’utilisateur du robot (responsabilité en cas de dommage). Le cas du robot autonome n’est donc pas couvert.

Le Parlement demande une évaluation de l’environnement de la responsabilité afin de déterminer le régime le plus approprié au domaine : responsabilité objective (rapporter la preuve du dommage, le dysfonctionnement du robot et le lien de causalité entre le dysfonctionnement et le dommage), ou régime de responsabilité basée sur la gestion du risque (capacité à gérer le risque et ses répercussions).

La responsabilité des personnes devrait être proportionnelle au niveau d’instructions données et d’autonomie du robot (plus un robot est autonome, plus la responsabilité de la personne l’ayant formé sera élevée). En parallèle, un système spécifique d’assurance des robots devra être mis en place.


    En conclusion, cette résolution du Parlement européen parvient à proposer des orientations pratiques sur un sujet éminemment complexe, dont nous ne connaissons pas encore tous les impacts sur notre société. Le mérite de ce document est de réaliser une synthèse des problématiques posées par la robotique. Cette résolution propose les grandes lignes d’un cadre juridique dont l’objet est de sécuriser le développement de la robotique et de ses multiples usages, et pose les fondements éthiques nécessaires pour éviter les dérives et tenter de circonscrire les craintes liées aux conséquences d’un développement incontrôlé de l’intelligence artificielle. La balle est désormais dans le camp de la Commission européenne pour proposer une directive dans des délais raisonnables, afin que l’Europe ne soit pas prise de court face à une évolution très rapide dans ce domaine.


                                                                       * * * * * * * * * * * *

(1) “Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique” (2015/2103(INL))

(2) Ces films sont, pour la plupart, adaptés de livres : Minority Report (par Philip K. Dick, publié en 1956!) ; Moneyball (The Art of Winning an Unfair Game, par Michael Lewis, publié en 2003) ; I, Robot (par Eando Binder publié en 1939 et réécrit par Isaac Asimov en 1950)

(3) Les trois lois de la robotique d’Asimov apparaissent dans Cercle Vicieux (Runaround), publié en 1942.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2017