L’essor de l’utilisation des drones à usage civil et la réglementation

 Fin janvier 2014, un jeune entrepreneur de 18 ans a survolé et filmé la ville de Nancy grâce à un drone équipé d’une caméra GoPro, puis a posté sa vidéo sur internet. Ce film a été visionné plus 400 000 fois ! Le jeune homme ignorait apparemment que l’utilisation d’un drone muni d’une caméra, a fortiori pour survoler une zone peuplée, est réglementée.

La vidéo a notamment été remarquée par les autorités qui n’ont pas manqué de contacter son auteur : dans un premier temps, la Direction régionale de l’aviation civile (DRAC) a rappelé au jeune homme les règles en vigueur en matière d’utilisation de drones et enjoint ce dernier de se mettre en conformité ; dans un second temps, le jeune entrepreneur a été informé par la gendarmerie qu’il était convoqué devant le tribunal correctionnel pour mise en danger de la vie d’autrui. (1)

Bien que le marché des drones soit en plein essor, leur utilisation est réglementée, suivant la catégorie d’appareil, leur type d’utilisation, etc. Nul n’étant censé ignorer la loi, l’affaire de la video de Nancy nous donne l’occasion de faire un point sur la réglementation en vigueur et  sur les questions juridiques que soulève l’utilisation des drones.


1. Les questions de sécurité et de protection de la vie privée soulevées par l’essor du marché des drones civils

Les drones sont définis comme des aéronefs télépilotés ou des aéronefs sans pilote à bord, dirigés à distance, avec une télécommande ou un smartphone.

Il existe de multiples catégories de drones, depuis des appareils de quelques centaines de grammes ayant un rayon et une durée de vol limités, généralement destinés aux loisirs, jusqu’à des appareils de plusieurs dizaines (voire de centaines) de kilos, pouvant parcourir de longues distances et voler à plusieurs centaines de mètres d’altitude. Ces appareils sont généralement utilisés à des fins professionnelles. Les drones peuvent par ailleurs être équipés d’appareils photo, de caméras, mais également de capteurs de température ou de composition de l’air, ou encore être utilisés pour larguer des pesticides ou autres charges.

Ces “aéronefs télépilotés” sont utilisés depuis plusieurs années dans des domaines divers :  sécurité publique (surveillance de manifestations sur la voie publique, lutte anti-incendie, sécurité de zones touchées par des accidents industriels, comme à Fukushima par exemple), surveillance de l’état des d’infrastructures ou de bâtiments, tournages de reportages d’information (inondations), sportifs (Tour de France), ou culturels, mais également dans les loisirs (aéromodélisme).

Malgré le fort potentiel économique lié à l’essor du marché des drones civils, leur utilisation suscite de nombreuses questions juridiques, particulièrement en matière de sécurité publique et de respect de la vie privée. (2)

    - En matière de sécurité, d’une part : l’utilisation incontrôlée de drones peut interférer avec d’autres types d’aéronefs (ULM, hélicoptères et avions en phases de décollage ou d’atterrissage), l’utilisation d’un drone en zone fortement peuplée dont le pilote aurait perdu le contrôle peut tomber sur la foule ; enfin, on ne peut écarter les risques d’utilisation à des fins terroristes. Bien qu’aucun accident de ce type n’ait été reporté à ce jour, ces risques doivent néanmoins être pris en compte avec le développement de l’utilisation des drones.

    - En matière de respect de la vie privée, d’autre part : un drone peut être employé à des fins intrusives. Certains modèles peuvent être équipés de caméras aux performances assez précises pour permettre d’identifier des personnes physiques à leur insu par exemple.

L’utilisation des drones n’est pas interdite, mais commence à être réglementée.


2. L’encadrement réglementaire de l’utilisation des drones civils dans l’espace aérien

La France est le premier pays à avoir instauré une réglementation spécifique en matière de drones, avec la publication de deux arrêtés du 11 avril 2012 relatifs d’une part, à la conception, l’utilisation et aux capacités requises pour faire voler de tels engins, et d’autre part, à l’utilisation de l’espace aérien par ces aéronefs. (3)

Ces deux textes complémentaires, visant à garantir la sécurité publique, ont respectivement pour objet de déterminer les différentes catégories d’aéronefs télépilotés et la nature des activités concernées, et d’encadrer l’utilisation de l’espace aérien compte tenu des différents modes d’utilisation des drones civils (activités d’aéromodélisme, activités particulières et vols expérimentaux).

Ce dispositif réglementaire a mis fin à un vide juridique. Même s’il ne résout pas toutes les questions juridiques posées par les différents modes d’utilisation des drones, ce cadre permet aux industriels de développer leurs offres en matière d’équipement et aux opérateurs de les utiliser légalement.

Les drones civils sont classés selon plusieurs catégories, de A à G. Ce classement dépend de leur masse, de leur type de propulsion et limitation et de la nature des activités concernées. Les obligations qui en découlent dépendent du mode d’utilisation de l’aéronef : vitesse, hauteur de vol (vol en vue de jour ou vol hors vue), type de zone survolée (peuplée ou non) et de la finalité (ou “scénario”).

Seuls, les aéromodèles de catégorie A (moins de 25 kgs, comportant un seul type de propulsion et sans caméra), ne pouvant circuler qu’en vue directe de leur télépilote, sont dispensés de document de navigabilité et sont autorisés à voler sans condition particulière concernant les capacités requises de leur utilisateur.

En revanche, l’utilisation des autres catégories de drones (notamment ceux équipés de caméra) est soumise, suivant la catégorie de l’aéronef concerné et le type d’activité, à l’obtention d’une autorisation délivrée par le ministre chargé de l’aviation civile ainsi qu’à l’installation de dispositifs spécifiques (capteur barométrique permettant au télépilote de connaître l’altitude ou dispositif “fail-crash” permettant de forcer un atterrissage), un niveau de compétence minimum du télépilote et la détention de documents spécifiques (manuels d’utilisation et d’entretien, document de navigabilité, manuel d’activités particulières (MAP).

L’exploitant d’un aéronef est responsable de la mise en œuvre de toutes les mesures de sécurité nécessaires pour assurer la sécurité des tiers et du respect des exigences applicables au drone qu’il exploite et au télépilote qu’il emploie.

Hormis les considérations relatives à la sécurité se posent des questions relatives au respect de la vie privée pour l’utilisation des drones embarquant appareils photo ou caméras.


3. La protection de la vie privée en question

La commercialisation et l’utilisation des drones civils soulèvent des enjeux importants, notamment en matière de libertés individuelles et de respect de la vie privée.

Les drones peuvent être équipés d’appareils photo, de caméras ou de capteurs sonores. Ces engins peuvent ainsi collecter, stocker, transmettre ou analyser une masse d’informations, et surveiller nos comportements et nos déplacements en toute discrétion et à notre insu.

En effet, en fonction des caractéristiques techniques de ces appareils, les photos et les vidéos prises peuvent permettre de distinguer et d’identifier des personnes physiques ou des véhicules (et plaques d’immatriculation).

    3.1  La question du droit à l’image
Dès lors qu’un drone capte et fixe l’image d’une personne physique, on peut s’interroger sur  le respect du droit à l’image de cette personne.

Le Code civil (notamment l’article 9) et la jurisprudence affirment que toute personne a sur son image et sur l’utilisation qui en est faite un droit exclusif et peut s’opposer à sa diffusion sans son autorisation.

Si un drone à usage professionnel ou un drone de loisir venait à capter l’image d’une personne (photographie ou video), la publication de cette image serait autorisée sous réserve d’avoir obtenu le consentement de la personne concernée. Or, l’obtention de ce consentement n’est généralement pas réalisable en pratique.

Toutefois, l’exigence de l’autorisation de la personne concernée connaît une exception lorsque celle-ci se trouve dans un lieu public. Selon la jurisprudence applicable, la publication de photographies prises dans des lieux publics (telles que des images de groupes de personnes ou un reportage sur une manifestation publique) n’est pas subordonnée à l’accord de toutes les personnes apparaissant sur ces images. Il s’agit là d’une approche pragmatique : si l’autorisation devait être systématique, toute publication de photographies de foules ou de manifestations publiques pour illustrer un reportage serait impossible.

Les tribunaux ont cependant émis quelques réserves : (i) la photographie ne doit pas permettre d’individualiser une personne en particulier, c’est-à-dire faire de cette personne le sujet principal de l’image et la rendre reconnaissable ; (ii) l’image ne doit pas porter atteinte à la dignité humaine ; et (iii) dans le cas d’événements d’actualité, la publication de l’image ne doit pas dépasser les limites du droit à l’information (répondre au besoin d’information de la société, une image en relation directe avec l’événement d’actualité et une image non détournée de son objet).

Ainsi, la captation d’images par un drone muni d’un appareil photo ou d’une caméra, lors de manifestations publiques (concerts, manifestations sportives, rassemblements politiques, etc.) doit respecter ces grands principes. A défaut, l’utilisateur de l’appareil pourrait faire l’objet de poursuites judiciaires pour atteinte au droit à l’image de la personne photographiée ou filmée à son insu.

    3.2  La question de la protection des données personnelles
Par ailleurs, la captation de l’image d’une personne physique par un drone équipé d’un appareil photo ou d’une caméra correspond à un enregistrement de données personnelles. Or, la diffusion de ces données peut porter atteinte à la vie privée des personnes filmées.

La captation et l’enregistrement d’images relatives aux personnes physiques relèvent de la loi Informatique et Libertés. (4) Cette loi encadre la collecte et le traitement des données à caractère personnel, à savoir toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, y compris par la captation de son image, mais également de la plaque d’immatriculation de son véhicule par exemple.

Les obligations pesant sur le responsable du traitement comprennent l’accomplissement de formalités préalables auprès de la CNIL (déclaration ou autorisation du traitement), le respect d’exigences en matière de durée de conservation et de sécurité des données personnelles, et le respect des droits des personnes concernées par le traitement de leurs données (informations concernant le traitement et leurs droits d’accès, de rectification et d’opposition).

Dès lors, on doit s’interroger sur la façon de transposer ces obligations à l’utilisation d’un drone civil.

Il paraît difficile de “flouter” systématiquement les visages des personnes filmées par un drone avant diffusion du film.

La loi Informatique et Libertés prévoit des règles spécifiques pour certains types de traitements tels que la géolocalisation ou la vidéosurveillance.

La vidéosurveillance est soumise à des règles distinctes selon le lieu d’installation du dispositif : dans un lieu ouvert au public et sur la voie publique, dans un lieu non ouvert au public ou à domicile.

Pour les dispositifs de vidéosurveillance mis en œuvre sur la voie publique, seules les autorités publiques sont habilitées à filmer la zone, et uniquement pour prévenir des atteintes à la sécurité des personnes et des biens ou des actes de terrorisme. Les personnes autorisées à consulter les images issues de ce dispositif doivent être habilitées par autorisation préfectorale.

Si l’on considère que les drones équipés de caméras peuvent s’apparenter à des systèmes de surveillance, on peut dès lors s’interroger sur l’application du régime de la vidéosurveillance à ce type d’utilisation. Toutefois, la transposition de ces règles à l’utilisation des drones peut s’avérer complexe : qui peut utiliser un drone filmant la voie publique et qui est habilité à visionner les images captées par le drone ? Dés lors qu’un drone filme la voie publique, comment en pratique les personnes filmées peuvent être informées qu’un tel système a été mis en place, et s’opposer à la captation de leur image ?

La Commission nationale de l’informatique et des libertés (CNIL) a engagé une réflexion prospective depuis 2012 au sujet de l’utilisation des drones et du respect de la vie privée. (5) L’un des axes de réflexion est de s’assurer que ces nouveaux usages n’entraînent pas de dérives en matière de surveillance. Parallèlement à ces travaux prospectifs, la CNIL est engagée dans des échanges internationaux sur ce sujet qui est à l’ordre du jour du G29 (organisme regroupant l’ensemble des CNIL européennes). Des recommandations en la matière sont donc attendues.


   Il n’existe à ce jour aucun texte européen relatif à la conception et à l’utilisation des drones. L’Europe compterait pourtant actuellement 400 sites de production de drones civils et de plus en plus d’utilisateurs.

Consciente du potentiel économique de ce marché, la Commission s’est récemment saisie de la question en créant un groupe de travail qui a eu pour mission d’éditer une feuille de route sur l’intégration sécurisée dès 2016 des drones civils dans le système d’aviation européen. (6) Ce rapport reprend les questions liées à l’utilisation de ces appareils : la sécurité, d’une part, et le respect de la vie privée, d’autre part.

Toutefois, il semble qu’aucun texte sur le sujet ne soit en cours discussion devant les instances européennes. Le projet de règlement européen sur la protection des données personnelles devant être adopté dans les mois à venir, vise à réformer les règles en matière de collecte et traitement des données, mais ne contient pas de dispositions spécifiques aux aéronefs télépilotés.

La France a pris les devants avec les deux arrêtés d’avril 2012. Même s’ils ne règlent pas toutes les questions posées, ces textes ont le mérite de poser un cadre de référence. Le défi sera de conserver l’équilibre entre un cadre réglementaire peu contraignant et stable et la protection des libertés fondamentales (sécurité civile et respect de la vie privée).

                                                             * * * * * * * * * * * *

(1) “Poursuivi en justice pour avoir filmé Nancy avec un drone”, article publié le 13 février 2014 dans le Figaro (http://etudiant.lefigaro.fr)

(2) Voir à ce sujet le rapport de Roland Courteau “Sur les perspectives d'évolution de l'aviation civile à l'horizon 2040 : préserver l'avance de la France et de l’Europe”, rapport n°658 (2012-2013), déposé au Sénat le 12 juin 2013 (http://www.senat.fr/rap/r12-658/r12-65811.html#toc134)

(3) Arrêté du 11 avril 2012 relatif à l’utilisation de l’espace aérien par les aéronefs qui circulent sans personne à bord ; Arrêté du 11 avril 2012 relatif à la conception des aéronefs civils qui circulent sans aucune personne à bord, aux conditions de leur emploi et sur les capacités requises des personnes qui les utilisent ; Articles R.133-1-2 et D.131-1 à D.133-10 du Code de l’aviation civile.

(4) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(5) Actualités CNIL “Usages des drones et protection des données personnelles” et “Drones : quelle vision prospective, quels enjeu pour les libertés ?” des 30 oct. 2012 et 6 déc. 2013.

(6) Communiqué de la Commission européenne du 19 juin 2013 intitulé “Les drones stimulent l’Innovation et créent des emplois”.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat

www.dwavocat.com

Février 2014

Enfin un cadre légal pour la vente en ligne de lunettes et lentilles de vue ?

 

Actuellement, la vente de lunettes et lentilles de vue sur internet n’est pas expressément prévue par la loi. Or, même si la législation française n’interdit pas la vente de lunettes et lentilles de vue en ligne en tant que tel, l’impossibilité en pratique - compte tenu des conditions réglementaires et sanitaires -, de vendre ces produits sur internet reste en contradiction avec les principes généraux du droit européen de libre établissement et de prestations de services.

En juin 2011, des dispositions relatives à la vente en ligne de produits d’optique-lunetterie avaient été intégrées dans le projet de loi “renforçant les droits, la protection et l’information des consommateurs”. (1) Ce projet de loi visait à satisfaire aux exigences de santé publique et à assurer la protection des consommateurs quelque soit le canal de vente, notamment en garantissant une correction adaptée de la vision lors de l’achat en ligne de produits d’optique-lunetterie. Ce projet de loi a cependant été abandonné en deuxième lecture à l’Assemblée nationale, fin décembre 2011.

Deux ans après cette première tentative, c’est en cours de débat parlementaire sur le projet de loi relatif à la consommation (ou projet de loi “Hamon”) que le Sénat a décidé d’intégrer des dispositions modifiant le Code de la santé publique. (2)

Nous rappelons ci-après les principales règles actuellement applicables à la vente de lunettes et lentilles de vue et la proposition figurant au projet de loi sur la consommation.


1. La vente de produits d’optique-lunetterie : une commercialisation strictement encadrée

Les règles applicables à la profession d’opticien et à la vente de lunettes et lentilles de vue sont définies au Code de la santé publique. (3)

La vente de lunettes et lentilles de contact de vue est notamment soumise aux conditions suivantes :

- être titulaire d’un diplôme ou certificat professionnel : la vente est réservée aux opticiens-lunetiers diplômés ;

- ne pas démarcher les clients en porte-à-porte. Le colportage de verres correcteurs est donc interdit ;

- exiger la présentation d’une ordonnance en cas de délivrance de verres correcteurs à des mineurs de moins de 16 ans, au-delà de cet âge la prescription n’est pas obligatoire.

Compte tenu des conditions applicables à la vente de lunettes et lentilles de vue, il est actuellement difficile de vendre ces produits en ligne dans le respect de la loi en vigueur.


2. Un nouveau projet de réglementation spécifique à la vente en ligne de produits d’optique-lunetterie

Les nouvelles dispositions figurant dans le projet de loi relatif à la consommation sont proches de celles proposées en 2011.

    - Les conditions de délivrance des lunettes et lentilles de vue
La délivrance de verres correcteurs et de lentilles de contact est réservée aux opticiens-lunetiers diplômés. Toutefois, concernant la vente en ligne, le texte prévoit que les vendeurs (“les prestataires concernés”) devront mettre à la disposition des internautes un opticien-lunetier apte à les conseiller. Toute personne pourra donc en principe exploiter un site web de vente de produits d'optique-lunetterie, à la condition toutefois de faire appel à un professionnel qualifié pour la fourniture d’informations et de conseils.

L'opticien (ou l’exploitant du site web) devra réclamer et vérifier l’existence d’une prescription médicale en cours de validité, quelque soit l'âge du client. L’ordonnance devra mentionner la valeur de l’écart pupillaire du patient.

En cas de délivrance de verres correcteurs de “puissance significative”, le site devra pouvoir faire une prise de mesure.

Enfin, le site devra mettre à disposition des internautes un professionnel qualifié, apte à répondre à toute demande d’informations et de conseils. La simple mise à disposition de fiches pratiques et informations en ligne ne sera pas suffisante.

Les modalités précises de la vente en ligne, à savoir, les conditions de transmission et de contrôle de validité de l’ordonnance, la prise des mesures, la délivrance de lentilles de contact aux primo-porteurs doivent être fixées par décret.

    - Les sanctions en cas de non-respect des conditions de vente en ligne des lunettes et lentilles de vue
Le projet de loi condamne d'une amende de 3.750€ toute personne qui ne respecterait pas les conditions mentionnées ci-dessus, à savoir notamment la délivrance ou la vente à distance de produits d’optique-lunetterie sans vérifier l’existence d’une ordonnance en cours de validité ou sans mettre à la disposition du client un professionnel apte à les conseiller.


Une fois le texte définitif voté, il conviendrait que les décrets d’application soient rapidement adoptés afin que ce texte puisse être effectivement appliqué par les professionnels. Ainsi, les décrets d’application devront aiguiller les professionnels sur les modalités pratiques de communication des ordonnances par les internautes. Il en va de même concernant les modalités pratiques de la délivrance de conseils personnalisés au client à distance.

Il convient enfin de noter que sans attendre l’adoption d’un cadre légal adapté, plusieurs sites internet français se sont d’ores et déjà lancés dans l’activité de vente en ligne de lunettes et de lentilles de vue. Certains sites vendent des lunettes de vue sans conditions particulières, d’autres appliquent les règles posées dans le projet de loi de 2011, ou anticipent les règles qui devraient s’appliquer lorsque la loi Hamon sera votée. La clarification des conditions de vente en ligne de lunettes et lentilles de vue sera donc la bienvenue.

A suivre donc…



Nota: la loi sur la consommation a été adoptée le 13 février 2014, concernant l'optique, dans les termes étudiés au présent article.

                                                       * * * * * * * * * * *

(1) Projet de loi n°3508, renforçant les droits, la protection et l'information des consommateurs, déposé le 1er juin 2011 et voir notre article « La vente en ligne de lunettes et lentilles de vue bientôt autorisée » (http://dwavocat.blogspot.fr/2011/10/la-vente-en-ligne-de-lunettes-et.html).

(2) Projet de loi relatif à la consommation, n°1015, déposé le 2 mai 2013 ; voir son article 17 quater du projet adopté, le 29 janvier 2014, par le Sénat, en 2e lecture.

(3) Voir les articles L.4211-4, L.4362-1 et s., L.4363-1 et s. du Code de la santé publique. Par ailleurs, les produits d’optique-lunetterie sont considérés comme des dispositifs médicaux, dont la commercialisation est régie par les articles L.5211-1 et R.5211-1 et s. du Code de la santé publique.


Betty SFEZ
Avocat

Deleporte Wentz Avocat

www.deleporte-wentz-avocat.com 

Février 2014

La cryptologie : une réglementation qui reste encadrée

La cryptologie fait partie de notre quotidien, depuis la connexion à notre banque en ligne, les achats sur internet, en passant par la signature électronique. De plus en plus d’applications cryptent les échanges pour des raisons de sécurité et de confidentialité notamment.

Le développement de l’utilisation des échanges cryptés a été rendu possible grâce à la libéralisation de la réglementation relative à la cryptologie intervenue depuis une dizaine d’années avec la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN). (1)

Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité (informations accessibles uniquement aux personnes autorisées), leur authentification (données provenant de la personne prétendant en être l’auteur) ou leur intégrité (empêchement de toute altération, intentionnelle ou fortuite, du message).

Cet ensemble de techniques permet, en chiffrant les informations échangées ou stockées, de les rendre inintelligibles pour les tiers lors de leur transmission ou de leur conservation. La cryptologie est utilisée dans des domaines très variés : financier, commercial, militaire, mais également dans le cadre d’activités illégales.

La loi distingue entre moyens et prestations de cryptologie, avec un encadrement juridique allant de la liberté d’utilisation jusqu’à l’autorisation du Premier ministre suivant les finalités des systèmes. Cette réglementation doit être analysée compte tenu des règles d’importation et d’exportation au sein de l’Union européenne d’une part, depuis ou vers des pays tiers à l’UE d’autre part.


1. La fourniture de moyens de cryptologie

La loi définit la notion de “moyen de cryptologie” comme “tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes (clé ou algorithme de chiffrement) ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.” (art. 29 LCEN)

    - Une liberté…
La loi pose le principe de la liberté d’utilisation des moyens de cryptologie. (art. 30 I. LCEN)

Ce principe de liberté est étendu à la fourniture et à l’importation et l’exportation au sein de l’Union européenne ou depuis ou vers des pays tiers de moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité, à savoir les moyens de signature électronique.

    - … Encadrée
En revanche, les moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont soumis à une procédure soit de déclaration préalable, soit d’autorisation du Premier ministre (sauf certaines catégories de moyens de cryptologie fixées par décret).

Ainsi, la fourniture et l’importation depuis un état membre de l’Union européenne ou depuis un pays tiers, de moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sont soumis à une déclaration préalable auprès de Premier ministre. Cette déclaration comprend la mise à disposition de la description des caractéristiques techniques du moyen de cryptologie en cause, ainsi que du code source des logiciels.

Enfin, la fourniture et l’exportation vers un état membre de l’Union européenne ou vers un pays tiers, de moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sont soumis à une autorisation du Premier ministre.

Qu’il s’agisse d’une déclaration ou d’une demande d’autorisation, le fournisseur doit adresser son dossier à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La forme et le contenu du dossier sont définis par un arrêté du Premier ministre. Ce dossier comporte une partie technique et une partie administrative. Si le dossier est complet, le Premier ministre notifie sa décision, dans un délai d’un mois pour les dossiers de déclaration, et un délai de 4 mois pour les autorisations, à compter du dépôt du dossier.

Il convient de noter que la déclaration de fourniture d’un moyen de cryptologie, vaut également déclaration pour les intermédiaires du déclarant qui distribuent ses moyens de cryptologie. Dès lors, une seule et unique déclaration suffira pour commercialiser les services du déclarant.

L’autorisation est délivrée pour une durée maximum de 5 ans, renouvelable.

Certaines catégories de moyens de cryptologie restent libres à l’importation ou à l’exportation. Les exceptions sont évaluées au regard des intérêts de la défense nationale et de la sécurité intérieure et extérieure de l’Etat. Ces catégories, identifiées par décret, concernent par exemple, la fourniture d’équipements, destinés au grand public, de réception de radiodiffusion ou de télévision, de radiocommunication mobiles, téléphoniques sans fil, et dont la capacité cryptographique ou de chiffrement n’est pas accessible à l’utilisateur. De même, est concernée la fourniture de prestations de cryptologie, ne consistant pas en la délivrance de certificats électroniques, visant à mettre en œuvre certains moyens de cryptologie. (2)

    - La responsabilité des fournisseurs de moyens de cryptologie
Le Premier ministre peut interdire la mise en circulation du moyen de cryptologie du fournisseur qui ne respecterait pas les obligations décrites à l’article 30 de la LCEN (déclaration préalable ou demande d’autorisation au Premier ministre). Le champ de cette interdiction s’étend aux distributeurs du moyen de cryptologie en cause, et aux matériels constituant les moyens de cryptologie dont la mise en circulation a été interdite.

En outre, le non respect des obligations de déclaration préalable ou d’autorisation prévues à l’article 30 de la LCEN peut entraîner l’application de sanctions pénales : un an d’emprisonnement et 15 000 euros d’amende.

Enfin, l’exportation d’un moyen de cryptologie vers un état membre de l’Union européenne ou vers un pays tiers sans avoir obtenu d’autorisation préalable ou en dehors des conditions de cette autorisation est passible de deux ans d’emprisonnement et de 30 000 euros d’amende.


2. La fourniture de prestations de cryptologie

La notion de “prestation de cryptologie est définie comme “toute opération visant à la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie.” (art. 29 LCEN)

    - Le principe de déclaration préalable
La fourniture de prestations de cryptologie reste encadrée, via une procédure de déclaration auprès du Premier ministre. (art. 31 LCEN)

Les conditions de la déclaration, et les exceptions à l’obligation de déclaration sont définies par décret et sont identiques à celles décrites ci-dessus.

Comme pour la fourniture des moyens de cryptologie, les exceptions à l’obligation de déclaration sont évaluées au regard des intérêts de la défense nationale et de la sécurité intérieure et extérieure de l’Etat.

    - Le secret professionnel
Les fournisseurs de prestations de cryptologie sont assujettis au secret professionnel, en vertu de l’article 226-13 du Code pénal qui dispose que “la révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende."

    - La responsabilité des fournisseurs de prestations de cryptologie
Les fournisseurs de prestations de cryptologie à des fins de confidentialité sont responsables, au titre de l’exécution de leurs prestations, du préjudice causé aux personnes qui leurs confient la gestion de leurs conventions secrètes, en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions.

De même, les prestataires de services de certifications électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés. (art. 33 LCEN) Ces prestataires doivent justifier d’une garantie financière suffisante pour couvrir les risques liés à leur activité ou d’une assurance responsabilité civile professionnelle.

Enfin, le fait de fournir des prestations de cryptologie visant à assurer des fonctions de confidentialité sans avoir rempli l’obligation de déclaration prévue à l’article 31 de la LCEN est passible de deux ans d’emprisonnement et de 30 000 euros d’amende.


3. L’utilisation de moyens de cryptologie à des fins criminelles : un régime de sanctions spécifiques

La cryptographie n’est pas utilisée qu’à des fins licites. Les criminels utilisent également des systèmes de cryptologie afin de communiquer de manière confidentielle et notamment de préparer la commission d’infractions. Le législateur a prévu certaines dispositions spécifiques en cas d’utilisation de moyens de cryptologie à des fins illicites.

    - Un mécanisme général d’aggravation des peines
Le législateur a créé un mécanisme général d’aggravation des peines en cas d’utilisation de moyens de cryptologie pour la commission d’infractions. Ainsi, l’article 132-79 du Code pénal prévoit l’élévation systématique du quantum de la peine en cas de recours à la cryptologie par des criminels. Par exemple, une l’infraction punie de 20 ans de réclusion criminelle, passe à 30 ans en cas de recours à la cryptologie.

    - Le refus de déchiffrement d’un moyen de cryptologie utilisé à des fins criminelles
Le Code pénal réprime le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie - susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit - de refuser de remettre cette convention aux autorités judiciaires ou de la mettre en oeuvre, malgré les réquisitions des autorités. Un tel acte est puni de 3 ans d'emprisonnement et de 45.000€ d'amende (article 434-15-2 CP).

Enfin, le Code pénal prévoit que lorsqu'il apparaît que des données, saisies ou obtenues au cours d’une l'enquête ou instruction, ont été cryptées, les autorités saisies de l'affaire peuvent désigner un expert afin qu’il déchiffre les informations litigieuses (article 230-1 CP).


Compte tenu des enjeux commerciaux d’une part, réglementaires d’autre part, il est donc impératif de se renseigner sur les règles de diffusion et d’import-export effectivement applicables à chaque moyen ou prestation de cryptologie, préalablement à toute mise sur le marché.

                                                  * * * * * * * * * * *

(1) Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (dite “LCEN”), Titre III : De la sécurité dans l’économie numérique, chap. 1er (articles 29 à 40).

(2) Décret n°2007-663, 2 mai 2007 pris pour l’application des articles 30, 31 et 36 de la LCEN et relatif aux moyens et prestation de cryptologie. Arrêté du 25 mai 2007, définissant la forme et le contenu des dossiers de déclaration et de demande d’autorisation d’opérations relatives aux moyens et aux prestations de cryptologie.

Bénédicte Deleporte
Betty Sfez
Avocats

Deleporte Wentz Avocat
www.dwavocat.com



Février 2014

La Cour de cassation rappelle les critères de protection du logiciel par le droit d’auteur

Le 14 novembre 2013, la Cour de cassation a rendu un arrêt rappelant les conditions de protection du logiciel par le droit d’auteur. (1) Cet arrêt est dans la droite ligne de l’arrêt SAS Institute inc. c. World Programming Ltd rendu par la Cour de justice de l’Union européenne le 2 mai 2012. (2) Son mérite est de rappeler les conditions de protection et les éléments du logiciel effectivement protégés par le droit d’auteur.


En l’espèce, deux personnes avaient conçu et développé un logiciel comptable dénommé “L’analyse mensuelle”, destiné aux PME. Par ailleurs, la suite Office édition PME de la société Microsoft corporation intégrait un logiciel dénommé “l’assistant financier”. Les développeurs du logiciel L’analyse mensuelle ont poursuivi Microsoft en contrefaçon de leur logiciel et en concurrence déloyale.

L’article L.112-2 (13°) du Code de la propriété intellectuelle dispose que le logiciel, y compris le matériel de conception préparatoire, est protégé par le droit d’auteur.

Cependant, d’une part, les auteurs qui veulent faire valoir leurs droits de propriété intellectuelle sur une oeuvre doivent rapporter la preuve de son originalité pour que celle-ci soit effectivement protégée ; d’autre part, les conditions de protection du logiciel par le droit d’auteur sont désormais bien déterminées. (3)

La Cour de cassation, dans son arrêt du 14 novembre 2013, rappelle ainsi que les langages de programmation mis en oeuvre, les algorithmes et les fonctionnalités du programme ne sont pas protégés.

En revanche, les lignes de programmation, les codes, l’organigramme et le matériel de conception préparatoire sont protégés, sous réserve de démontrer leur originalité.

A ce titre, il est rappelé que la notion d’originalité s’entend de l’effort personnalisé de l’auteur, ou la marque de l’apport intellectuel de l’auteur ; en d’autres termes, l’originalité s’entend des éléments qui permettent de distinguer une oeuvre d’une autre par les apports de l’auteur qui lui impriment une personnalisation, une “patte” particulière. En cas de contentieux en contrefaçon, cette notion d’originalité sera examinée au cas par cas. Si les auteurs ne peuvent rapporter la preuve de l’originalité de leur programme, celui-ci ne sera pas protégé.

Il convient toutefois de ne pas confondre originalité et nouveauté. En effet, le caractère innovant d’un programme ne peut se substituer au critère d’originalité pour justifier sa protection par le droit d’auteur.

En l’espèce, les demandeurs n’ont pas réussi à rapporter la preuve de l’originalité de leur logiciel “L’analyse mensuelle”, et ce, même en faisant état de la quantité d’heures de travail consacrées à sa conception et au nombre de lignes de programmation, ainsi que les graphiques et tableaux de bord. La Cour de cassation a donc confirmé l’arrêt de la cour d’appel sur ce point.

Enfin, concernant les actes de concurrence déloyale de la part de Microsoft invoqués par les développeurs, la Cour de cassation a infirmé l’arrêt d’appel, qui les avait déboutés, sur ce moyen. L’affaire se poursuit donc devant la Cour d’appel de Lyon sur le terrain de la concurrence déloyale.


En conclusion, on retiendra que bien que le logiciel soit protégé par le droit d’auteur, cette protection n’est pas automatique. En cas de contentieux, l’auteur, ou le titulaire des droits, devra démontrer le caractère original du programme, à savoir, les apports personnalisés sur les éléments de programmation, les codes, ou l’organigramme du logiciel. Faute de pouvoir convaincre les juges de l’originalité de l’oeuvre, celle-ci ne sera pas protégée.

                                                        * * * * * * * * * * *


(1) C. cass. chbre civ. 1, 14 novembre 2013, n°12-20687, M.M. X & Y c. Microsoft corporation

(2) Voir l’arrêt de la Cour de justice de l’Union européenne du 2 mai 2012, SAS Institute Inc. / World Programming Ltd ainsi que nos précédents articles sur ce sujet

(3) Voir la directive européenne 91/250/CEE du Conseil du 14 mai 1991 concernant la protection juridique des programmes d’ordinateur, transposée en droit français par la loi n°94-361 du 10 mai 1994 (art. L.122-6 et s. du Code de la propriété intellectuelle) ; Directive du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information, transposée en droit français par la loi n°2006-961 du 1er août 2006 (Loi DADVSI) ; et nos précédents articles sur ce sujet : http://dwavocat.blogspot.fr/2011/10/logiciels-originalite-et-droit-de.html et http://dwavocat.blogspot.fr/2012/05/les-contours-de-la-protection-des.html


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

janvier 2014

Conflit entre une marque et un nom de domaine : le choix du recours à la procédure extrajudiciaire

Le cybersquatting ou enregistrement abusif de nom de domaine, consiste à enregistrer comme noms de domaine des marques sur lesquelles cette personne ne détient aucun droit. Le cybersquatteur exploite le principe du “premier arrivé, premier servi”, sur lequel repose le système d’enregistrement des noms de domaine. L’objectif est généralement de revendre le nom de domaine au titulaire de la marque concernée ou d’attirer des internautes sur un site web proposant des produits concurrents, voire contrefaits, ou des offres commerciales sans aucun rapport avec ladite marque.

De nombreuses entreprises sont victimes chaque année de ce type de pratique, en particulier celles ayant pour activité le commerce de détail, la mode ou la banque et la finance. Pour se défendre, les entreprises ont deux possibilités : engager une action en justice ou lancer une procédure extrajudiciaire.

Parce qu’elles présentent de nombreux avantages, les procédures administratives connaissent un certain succès. Ainsi, en 2012 les titulaires de marques ont déposé 2884 plaintes pour cybersquatting de 5084 noms de domaine, auprès du Centre de l’OMPI et 91% de ces plaintes ont abouti, les titulaires de marque obtenant le transfert ou la radiation du nom de domaine litigieux. (1)

Parmi les procédures de règlement alternatif des litiges, la procédure UDRP (ou Uniform Dispute Resolution Policy) a été instaurée par l’ICANN (autorité de régulation de l’internet) en octobre 1999. (2) Voici en quelques lignes ce qu’il faut retenir.


1. Les conditions d’accès à la procédure extrajudiciaire UDRP

Les litiges visés : cette procédure ne s’applique qu’aux litiges relatifs à l’enregistrement abusif d’un nom de domaine portant atteinte à une marque.

Les noms de domaines concernés : la procédure UDRP s’applique pour l’extension en .com ainsi que pour d’autres extensions relevant des domaines génériques de premier niveau (gtlD) telles que les extensions en .org, .gov, .net par exemple et quelques extensions nationales. (3)

Les demandeurs : toute personne physique ou morale, quelle que soit sa nationalité ou sa situation géographique, peut déposer une plainte administrative UDRP relative à un nom de domaine litigieux.

Les centres arbitraux compétents : le requérant, titulaire d’une marque, a la possibilité de déposer sa plainte auprès de l’un des Centres agréés par l’ICANN. Ces centres sont notamment situés en Europe à Genève (Centre d’arbitrage et de médiation de l’OMPI) et à Prague (Cour d’arbitrage tchèque) ; aux Etats-Unis (National Arbitration Forum ou NAF) et en Asie (Asian Domain Name Dispute Resolution Center ou ADNDRC).

Les exigences préalables : pour être recevable, la demande du requérant doit remplir trois conditions cumulatives : (a) le nom de domaine litigieux doit être identique ou similaire à une marque sur laquelle le requérant détient des droits, et prêter à confusion dans l’esprit du public ; (b) le détenteur du nom de domaine litigieux n’a aucun droit sur le nom de domaine, ni aucun intérêt légitime qui s’y attache ; et (c) le nom de domaine litigieux a été enregistré et utilisé de mauvaise foi.


2. Les points forts de la procédure administrative UDRP

Une procédure simple et rapide : elle s’étend en principe sur 60 jours et se réalise en 5 étapes :
    - dépôt de plainte du requérant,
    - présentation des observations du défendeur,
    - constitution d’une commission d’experts,
    - décision, et enfin
    - exécution de cette décision.

En principe, il n’y a qu’un seul échange d’argumentaire et de pièces pour les parties. Aucune audience en personne n’est prévue. Une fois la plainte et la réponse du défendeur déposées, le Centre désigne un ou plusieurs experts chargés d’examiner le dossier. La décision, écrite et motivée, est notifiée aux parties et au registrar concerné (bureau d’enregistrement du nom de domaine litigieux).

Le requérant débouté ou le défendeur condamné n’a comme seul moyen de recours, la saisine de juridictions nationales. Si le défendeur condamné ne saisit pas la justice dans un délai de 10 jours à compter de la notification de la décision, le registrar exécutera automatiquement la décision de transfert ou de radiation du nom de domaine.

Une procédure peu coûteuse : le montant des taxes est fixé par chaque Centre de règlement selon un barème. Ce montant varie selon le nombre de noms de domaine concernés par la plainte et le nombre d’experts mandatés. Ainsi, une procédure devant le Centre de l’OMPI s’élève entre 1.500USD et 5.000USD (soit entre 1.100€ et 3.700€). Ces taxes sont entièrement à la charge du requérant, sauf si la désignation de plusieurs experts est à l’initiative du défendeur. Dans ce cas, ce dernier doit s’acquitter de la moitié du montant total de la taxe.

Une procédure n’excluant pas l’action en justice : cette procédure spécifique n’implique aucune renonciation aux droits des parties d’ester en justice. En effet, le titulaire de la marque, ou le détenteur du nom de domaine, a la possibilité de porter le litige devant les tribunaux, que ce soit avant ou après la procédure extra-judiciaire.


3. Illustration : l'affaire Eleven c. Howword Flower rendue par le Centre de l’OMPI

Cette affaire opposait l’entreprise française Eleven à une société américaine, Howword Flower. (4) La société Eleven était titulaire de plusieurs marques françaises et internationales, enregistrées en 2011, et exploitait un site internet de vente en ligne de prêt-à-porter, à l’URL elevenparis.com.

La société Eleven a découvert que la société Howword Flower avait enregistré, en juillet 2013 – soit postérieurement à l’enregistrement de ses marques - le nom de domaine elevenparisfr.com. En outre, ce nom de domaine pointait vers un site web très similaire à celui exploité par la société Eleven et proposait à la vente des produits contrefaits de la société Eleven.

En août 2013, la société Eleven a décidé de déposer plainte auprès du Centre de l’OMPI afin d’obtenir le transfert du nom de domaine litigieux.

La commission d’experts désignés a relevé qu’en l’espèce les trois exigences, requises par le règlement UDRP, étaient effectivement remplies :
  - le nom de domaine litigieux elevenparisfr.com reproduisait à l’identique la marque du requérant et la confusion entre ces deux signes était d’autant plus flagrante que le nom de domaine litigieux comportait les lettres “fr”, correspondant à l’extension des noms de domaine français ;
  - la commission a ensuite relevé que la société Howword Flower n’avait aucun droit sur le nom de domaine, ni aucun intérêt légitime qui s’y attachait. Il ressort notamment des éléments du dossier que le défendeur n’était pas autorisé à utiliser la marque litigieuse, ne détenait pas de licence d’utilisation de cette marque et n’était pas connu du public sous le nom de domaine litigieux ;
  - enfin, les experts ont constaté que le nom de domaine elevenparisfr.com avait été enregistré et utilisé de mauvaise foi, résultant du fait que le requérant utilisait un nom de domaine, pointant vers un site internet qui proposait des produits contrefaits, sous la marque du requérant, sans le consentement de ce dernier.

Le 16 octobre 2013, la commission d’experts a rendu une décision ordonnant le transfert du nom de domaine litigieux au profit de la société Eleven.


   La procédure extrajudiciaire UDRP a le mérite de résoudre les conflits entre les marques et les noms de domaine dans des délais plus courts et pour un coût moindre que devant les juridictions nationales. Cette procédure, concernant souvent des litiges internationaux, permet également d’obtenir rapidement l’exécution d’une décision, et évite ainsi le recours à la procédure d’exequatur, procédure longue et complexe mais nécessaire pour donner force exécutoire à un jugement étranger sur le territoire national.

Toutefois, la procédure UDRP connaît quelques désavantages : elle ne permet que la transmission ou la suppression du nom de domaine, à l’exclusion de tous dommages et intérêts ; les taxes restent souvent à la charge du demandeur ; et les débats – uniquement par écrit – sont limités. En outre, il n’existe pas recours en appel devant ces Centres. En conséquence, il est possible qu’après deux mois de procédure extra-judiciaire, le requérant débouté doive repartir de zéro devant une juridiction nationale.

Dans la pratique, le choix entre l’action judiciaire et la procédure extrajudiciaire dépendra de la complexité de l’affaire, du préjudice subi par l’entreprise victime et de ce que cette dernière souhaite obtenir. Chaque situation doit donc être appréciée au cas par cas afin de déterminer la meilleure stratégie à adopter pour faire transférer ou radier un nom de domaine litigieux. Pour faire son choix, l’entreprise pourra s’appuyer sur les recommandations d’un Conseil spécialisé.


                                                    * * * * * * * * * * *

(1) “Activité du Centre d’arbitrage et de médiation de l’OMPI en 2012”, communiqué du centre médias de l’OMPI du 28 mars 2013.

(2) La procédure UDRP (Uniform Dispute Resolution Policy) et les Principes directeurs et les règles d’application éditées le 24 octobre 1999, sont accessibles sur le site du Centre d’arbitrage de l’Ompi (http :// :arbiter.wipo.int).

(3) Il existe une procédure similaire - dite Syreli (Système de règlement des litiges) pour les extensions gérées par l’Afnic, dont le .fr.

(4) Décision arbitrale du centre de l’OMPI, Eleven vs. Howword Flower, case n°D2013-1423, du 16 octobre 2013.
 
Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2014

Vers une protection juridique des secrets d’affaires en Europe

Selon une étude récente, 25% des entreprises européennes ont signalé un vol d'informations confidentielles en 2013, contre 18% en 2012. (1) Ces atteintes au patrimoine économique et scientifique des entreprises prennent des formes diverses : vol de documents par effraction, captation de données par intrusion dans un système d’information ou recoupement d’informations par élicitation. Elles concernent des sociétés de toutes tailles et tous secteurs d’activités. Or, ces atteintes peuvent être lourdes de conséquences en termes économiques et commerciaux.

Aujourd’hui, la réglementation relative à la protection des informations sensibles de l’entreprise, ou à ses secrets d’affaires, varie fortement d’un pays à l’autre, même au sein de l’Union européenne. Outre les règles propres à la propriété intellectuelle et à la concurrence déloyale, seuls quelques pays disposent d’une protection spécifique relative aux secrets d’affaires. La France ne dispose pas encore de loi spécifique, malgré une proposition de loi de novembre 2011. (2)

Partant du constat que l'espionnage industriel et la cybercriminalité faisaient désormais partie de la réalité quotidienne des entreprises, la Commission européenne a élaboré une proposition de directive relative à la protection des secrets d’affaires, en date du 28 novembre 2013. (3)

Bien que cette proposition de directive soit encore soumise à la validation du Parlement et du Conseil européens, nous en étudions ci-après les principales dispositions visant à renforcer les voies de recours des entreprises victimes d’appropriation illicite de secrets d’affaires.


1. Les notions clefs de la protection des secrets d’affaires

Il n’existe actuellement pas de définition unique en matière de secrets d’affaires, ni de protection juridique spécifique. (4) La proposition de directive sur la protection des secrets d’affaires nous fournit une définition de la notion de secret d’affaires, ainsi qu’un cadre pour leur protection juridique et pour la réparation des victimes de vol de secrets d’affaires.

La proposition de directive définit les secrets d’affaires comme toutes informations secrètes, à savoir les informations qui :
    (i) ne sont généralement pas connues, ou aisément accessibles, de personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question ;
    (ii) ont une valeur commerciale ; et
    (iii) ont fait l'objet, de la part de leurs détenteurs légitimes (personnes qui en ont licitement le contrôle), de dispositions destinées à les garder secrètes, ces dispositions devant être “raisonnables”, compte tenu des circonstances.

Cette définition du secret d’affaires pose cependant le problème de la qualification, et donc de l’identification, des informations pouvant bénéficier de ce régime de protection. En effet, comment définir de manière objective ce qui constitue un secret d’affaires ? A titre d’exemples de secrets d’affaires, on pourra citer la composition d’un produit alimentaire ou d’une boisson, la méthode de fabrication d’un produit industriel ou les codes source d’un logiciel. Ces éléments, composant le patrimoine de l’entreprise, sont essentiels notamment pour sa valorisation financière.

En pratique, il reviendra donc aux entreprises de mettre en place une politique de gestion de l’information formelle dont l’objet sera de classifier les informations, et notamment, d’identifier les informations sensibles et secrètes.

Par ailleurs, la définition de la directive, dans sa version actuelle, ne paraît pas assez fine pour couvrir toutes les catégories d’informations que auraient vocation à être protégées au titre des secrets d’affaires. Il nous semble ainsi trop réducteur que de limiter les informations susceptibles de relever des secrets d’affaires aux informations ayant une valeur commerciale. En effet, certaines informations de nature économique, industrielle, technique, ou scientifique peuvent ne pas avoir de valeur commerciale directe ou immédiate, notamment lorsque ces informations relèvent de données de R&D technique ou scientifique. Il conviendra donc de suivre l’évolution de cette définition lors des discussions qui auront lieu devant le Parlement et le Conseil européens.

La proposition de directive dispose ensuite que l’acquisition illicite de secrets d’affaires consiste en l'obtention, l'utilisation ou la divulgation illicite du secret, c’est-à-dire sans le consentement du détenteur du secret.

L’infraction est constituée par des moyens d’accès non autorisés, de vol, d’acte de corruption, d’abus de confiance ou du non-respect d'un accord de confidentialité, d'une obligation contractuelle et de tout autre comportement contraire aux usages commerciaux honnêtes.

L’utilisation d’un secret obtenu de façon illicite ou la mise sur le marché de produits bénéficiant d'un secret obtenu de façon illicite rentrent également dans la liste des infractions.


2. Les voies de recours et garanties offertes aux entreprises

La Commission souhaite que les Etats membres offrent aux entreprises détentrices de secrets d'affaires des recours judiciaires permettant d'empêcher l’acquisition ou l’utilisation illicite d'un secret ou d’obtenir réparation en cas d’atteinte à leur patrimoine économique.

L’action judiciaire devra pouvoir être engagée dans un délai de 2 ans au plus, à compter de la date à laquelle le détenteur du secret aura pris connaissance du dernier acte d'acquisition illicite.

Les autorités judiciaires devront pouvoir prononcer une ou plusieurs mesures à titre provisoire et conservatoire à l'encontre du contrevenant présumé, telles la cessation provisoire de l'utilisation du secret d'affaires, l'interdiction de mettre sur le marché des produits en infraction et la saisie des produits présumés en infraction.

En outre, et en toute logique, pourront également être ordonnées, toutes mesures visant à préserver la confidentialité des secrets faisant l'objet de litiges durant la procédure judiciaire. Ainsi, toute personne prenant connaissance, au cours d’un procès, d’un secret d’affaires, aura l’interdiction de le divulguer. De même, à la demande motivée d'une partie, les juridictions devront prendre des mesures pour protéger le caractère confidentiel de tout secret d’affaires, telles la restriction de l'accès aux documents et aux audiences ou la mise à disposition d’une version non confidentielle du document litigieux.

Si de nouvelles règles relatives aux recours judiciaires ouverts aux sociétés victimes d’appropriation illicite de secrets d’affaires viendront effectivement compléter les règles actuelles, il conviendra néanmoins de qualifier au préalable les informations divulguées, le caractère illicite de l’appropriation, et identifier la personne physique ou morale à l’origine de cette appropriation (salarié de l’entreprise, ancien salarié, stagiaire, partenaire commercial, prospect, etc.). La constitution de la preuve de l’infraction par l’entreprise victime sera d’autant plus difficile à établir si celle-ci n’a pas de politique de gestion de ses secrets d’affaires.


3. Les sanctions encourues en cas d’acquisition illicite de secrets d’affaires

En cas d’acquisition illicite de secrets d’affaires par une entreprise, la proposition de directive prévoit que les autorités judiciaires puissent prononcer à son encontre :
    - des mesures d’interdiction provisoire ou définitive (telle l’interdiction d’utiliser un secret d’affaire ou de mettre sur le marché des produits en infraction),
    - des mesures de saisie ou de destruction des produits en infraction ainsi que des mesures de publicité des décisions judiciaires. 

En outre, la société propriétaire des informations pourra obtenir réparation pécuniaire par l’obtention de dommages et intérêts dont le montant serait calculé en prenant en compte notamment le manque à gagner subi, les bénéfices injustement réalisés par le contrevenant et le préjudice moral causé au propriétaire légitime des informations.


Ce texte doit encore faire l’objet de discussions par le Parlement et le Conseil européen, avant d’être adopté en principe d’ici 2015. La version définitive de la directive, ne donnera aux Etats membres que les grandes lignes à respecter en matière de protection des secrets d’affaires. La directive devra ensuite être transposée dans les différents droits nationaux dans un délai de 24 mois.

Cette proposition de directive a un précédent en France avec la proposition de loi relative à la protection des informations économiques, présentée par Bernard Carayon en novembre 2011. Cette proposition de loi donnait une définition plus large de la notion de secrets d’affaires (à savoir, les données économiques, commerciales, industrielles, financières, scientifiques ou stratégiques de l’entreprise) et créait le délit de violation du secret des affaires. Ce texte punissait la divulgation d'informations de nature commerciale, industrielle, financière, scientifique ou technique, compromettant gravement les intérêts d'une entreprise, de 3 ans d'emprisonnement et 375.000€ d’amende. Il proposait également d’identifier les secrets d’affaires en apposant sur ces informations un cachet portant la mention “secret”. Critiquée au moment de son examen, cette proposition de loi a depuis été suspendue avec l’élection de François Hollande et la nouvelle législature en mai 2012.

L’adoption de la directive européenne offrirait donc à la France une nouvelle chance de construire une protection juridique efficace autour des informations et des connaissances sensibles de l’entreprise.


                                                      * * * * * * * * * * *

(1) Communiqué de presse de la Commission européenne du 28 novembre 2013 : “La Commission propose des règles pour la protection du secret d’affaires".

(2) Proposition de loi de M. Bernard Carayon visant à sanctionner la violation du secret des affaires n°3985 déposée le 22 novembre 2011, modifiée et adoptée en 1ère lecture par l’Assemblée nationale le 23 janvier 2012.

(3) Proposition de Directive du Parlement européen et du Conseil sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites (2013/0402(COD).

(4) Il convient cependant de noter que les règlements CEE n°4087/88 du 30 novembre 1988 et CE n°2790/1999 du 22 décembre 1999 mentionnent que pour être retenues comme secret d’affaires, les informations doivent répondre à trois critères cumulatifs, c’est-à-dire être : (i) secrètes ; (ii) substantielles ; et (iii) identifiées. Voir également à ce sujet Le droit de l’intelligence économique par Olivier de Maison Rouge, éd. Lamy 2012.

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2014

Pour ou contre la pratique du BYOD : quelques réponses juridiques

La pratique du BYOD (Bring Your Own Device) ou le fait d’apporter et d’utiliser ses propres appareils numériques (smartphone, ordinateur, tablette) au travail tend à se répandre. Certains prônent la flexibilité, la mobilité et la facilité d’utilisation d’appareils auxquels les collaborateurs sont déjà habitués. D’autres rappellent les inégalités entre les collaborateurs qui peuvent (ou doivent) utiliser leurs propres appareils et les autres. Au-delà de ces prises de position se posent de réelles questions, en termes de sécurité, mais également en termes juridiques.

Nous aborderons le sujet du BYOD selon trois axes : celui de la sécurité informatique, celui relatif à la nécessaire distinction entre les données professionnelles et les données privées, et enfin, l’axe “pédagogique” de la charte informatique.


1. BYOD et sécurité

La question de la sécurité concerne non seulement la sécurité des systèmes informatiques de l’entreprise, mais également, la sécurité de l’information.

La sécurité des systèmes informatiques de l’entreprise est, à juste titre, au coeur de la préoccupation des Directions informatiques.

L’entreprise qui tolère l’utilisation par ses collaborateurs de leurs propres équipements numériques à des fins professionnelles, sans mettre en place les procédures de sécurité appropriées pour assurer la fiabilité de ces supports (logiciels devant être utilisés, anti-virus à installer, etc.), se met en situation de précarité. Hormis les coûts engendrés en cas d’atteinte au système informatique, un système mal sécurisé et vulnérable aux intrusions peut engager la responsabilité de l’entreprise, ou au moins, si l’on se réfère aux dernières jurisprudences dans ce domaine, entraîner un allègement de la responsabilité de la personne coupable de l’atteinte au STAD. (1)

Les risques liés au BYOD concernent également les accès à distance aux serveurs et données, particulièrement si l’entreprise n’a pas déployé une politique de gestion des équipements BYOD, avec des pré-requis techniques avant d’autoriser l’accès à son système informatique, que ce système soit géré en interne, hébergé par un tiers ou exploité en mode Cloud.

En outre, en matière de traitements de données à caractère personnel, les entreprises sont responsables en cas d’atteinte à la sécurité des systèmes, en leur qualité de responsable de traitement. La loi Informatique et Libertés impose en effet au responsable de traitement de prendre toutes précautions utiles (mesures de sécurité technique et physique) pour empêcher que les données personnelles de leurs salariés et clients ne soient erronées, modifiées, effacées par erreur, ou que des tiers non autorisés y aient accès. (2)

Enfin, le BYOD requiert de mettre en place une politique spécifique relative au traitement des documents de l’entreprise et à leur confidentialité, afin d’éviter que d’autres personnes n’y aient accès, notamment si l’ordinateur personnel ou la tablette sont utilisés par ailleurs par d’autres membres de la famille.


2. BYOD et distinction entre données professionnelles et données privées

La frontière entre vie privée et vie professionnelle tend à se brouiller pour certaines catégories de salariés (télétravail, et mobilité notamment).

La jurisprudence relative aux droits de l’employeur à accéder aux documents et emails sur l’ordinateur du salarié est désormais relativement bien établie. Ainsi, l'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Jusqu’à présent, la jurisprudence concernait les accès aux fichiers et emails sur les ordinateurs professionnels mis à la disposition des salariés par l’employeur. En résumé, l’employeur peut accéder aux fichiers numériques et emails du collaborateur, même en son absence, à l’exception des fichiers et emails identifiés comme “personnel” ou “privé”. La jurisprudence a récemment étendu cette faculté d’accès par l’employeur pour les documents se trouvant sur une clé USB appartenant au salarié, mais connectée à l’ordinateur professionnel. (3)

Alors qu’un appareil fourni par l’entreprise a pour finalité première d’être utilisé à des fins professionnelles et que l’utilisation à des fins privées est tolérée à la marge, un appareil personnel est censé être utilisé d’abord à des fins personnelles.

La jurisprudence relative à l’accès par l’employeur au contenu de l’ordinateur professionnel du salarié nous paraît difficilement transposable, telle quelle, au BYOD. En effet, le salarié a droit au respect de l'intimité de sa vie privée. Son employeur ne saurait librement accéder à ses équipements pour en contrôler le contenu. Afin de rétablir un équilibre entre données privées et données professionnelles, il est donc indispensable de définir les “règles du jeu” par la mise en oeuvre d’une charte technologique au sein de l’entreprise.


3. BYOD et charte technologique

Chaque entreprise devrait avoir déployé une charte informatique (également dénommée charte technologique ou charte utilisateur). (4) Cependant, même lorsqu’une charte est en vigueur dans l’entreprise, celle-ci doit être régulièrement revue et mise à jour pour tenir compte de l’évolution des usages et des technologies.

La charte informatique a une dimension pédagogique, à la fois pour les responsables informatique et sécurité qui doivent faire l’effort de poser les bonnes questions pour l’entreprise, la sécurité des systèmes et des données afin de rédiger une charte pertinente, et pour les collaborateurs qui auront à leur disposition les lignes de conduite à suivre dans ce domaine.

Ainsi, l’objet de la charte n’est pas nécessairement d’interdire mais de tracer les limites entre ce qui est autorisé et ce qui ne l’est pas : les collaborateurs sont-ils autorisés à utiliser la messagerie électronique pour échanger des emails privés, peuvent-ils consulter et utiliser les réseaux sociaux pendant leurs heures de travail, enfin sont-ils autorisés à utiliser leurs propres équipements pour l’exécution de leur travail, etc.

L’entreprise devra prendre une position claire sur le fait d’autoriser ou d’interdire l’utilisation par les collaborateurs de leurs propres équipements à des fins professionnelles. Si l’entreprise décide d’autoriser la pratique du BYOD, les règles d’utilisation devront alors être clairement définies afin de pallier les risques identifiés ci-dessus.

En cas d’autorisation du BYOD, la charte devra déterminer les types d’équipements autorisés, les logiciels et mesures de sécurité qui doivent être adoptés par les collaborateurs concernés, les règles de distinction ou de partition entre sphère privée numérique et sphère professionnelle numérique sur les équipements, et les règles d’accès aux données professionnelles par l’employeur.

Enfin, il conviendra de gérer rigoureusement le départ du collaborateur de l’entreprise. En principe, les équipements sont restitués à l’entreprise au moment du départ du collaborateur. Dans le cas du BYOD, il conviendra de prévoir une procédure d’effacement des données professionnelles, avec un engagement de confidentialité renforcé de la part du salarié sur le départ, sans oublier de fermer ses accès à distance au système informatique de l’entreprise (blocage des identifiants et mots de passe).


La question du BYOD ne laisse pas indifférent, à tel point que certains détournent cet acronyme en “buy your own device” (achetez votre propre appareil) ou “bring your own disaster” (apportez votre catastrophe) ! Il n’en demeure pas moins que le BYOD est source de risques en matière de sécurité informatique et juridique. Toute entreprise, quelle que soit sa taille, doit prendre position sur le fait d’interdire ou d’autoriser à ses collaborateurs l’utilisation de leurs équipements numériques. L’interdiction a le mérite d’écarter ces risques, a fortiori si l’entreprise intervient sur des domaines sensibles. Elle permet de conserver le contrôle et de rationaliser le parc informatique et les budgets y afférents ainsi que de gérer les risques de sécurité, compte tenu des composantes matérielles et logicielles. En revanche, l’autorisation du BYOD doit être accompagnée par le déploiement d’une politique de sécurité renforcée et d’une charte informatique adaptée, comprises par les collaborateurs et régulièrement contrôlées et mises à jour.

                                                     * * * * * * * * * *

(1) Voir notamment : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C, et TGI Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. (à noter que le Ministère public a interjeté appel de ce jugement).

(2) Art. 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée; et voir notre article “Protection des données personnelles : qui est responsable en cas de manquement à la loi ?” publié en mai 2013 sur notre blog à : http://dwavocat.blogspot.fr/2013/05/protection-des-donnees-personnelles-qui.html

(3) Voir les dernières jurisprudences de la Cour de cassation : C. cass., ch. soc., 16 mai 2013, N°12-11866 ; C. cass., ch. soc., 19 juin 2013, N°12-12138 ; C. cass., ch. soc.,12 février 2013, No 11-28.649 ; C. cass., ch. soc.,10 mai 2012, N°11-13.884 et notre article “Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles” publié en septembre 2013 sur notre blog à http://dwavocat.blogspot.fr/2013/09/principes-et-limites-lacces-aux-emails.html

(4) A ce sujet, nous renvoyons à nos articles relatifs à la mise en place d’une charte informatique  : http://dwavocat.blogspot.fr/2011/12/la-charte-informatique-face-levolution.html et http://dwavocat.blogspot.fr/2013/10/la-protection-du-patrimoine.html


Bénédicte DELEPORTE

Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2013

Données de santé : des obligations de sécurité spécifiques pour les professionnels de la santé

Les données de santé sont considérées comme des informations sensibles, et à ce titre, sont soumises à un haut niveau de sécurité, physique et technique. Toutefois, les médias rapportent régulièrement l'existence de fuites de données de patients, par des centres hospitaliers ou des laboratoires d'analyses médicales, retrouvées sur la Toile. (1)

Les professionnels et établissements de santé sont ainsi légalement tenus de préserver la sécurité et la confidentialité des données de leurs patients, le recours à la sous-traitance pour certains traitements de données ou leur hébergement, ne déchargeant pas les professionnels des obligations, comme vient de le rappeler la CNIL.


1. Les obligations de sécurité et de confidentialité des données des patients pesant sur les professionnels de santé

Les informations relatives à l'état de santé physique et psychique d'un patient sont considérées par la loi comme des données sensibles. Le traitement de ces données, notamment leur collecte, utilisation, communication, stockage, destruction, est soumis à des conditions particulières définies dans la loi Informatique et Libertés (art. 8, 34 et 35) et le Code de la santé publique.

Les professionnels et établissements de santé sont tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données constitue un impératif.

Le Code de la santé publique dispose, en outre, que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4).

Le Code de la santé publique impose aux professionnels de santé le respect de référentiels de sécurité. En pratique, ces professionnels doivent prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Ils sont donc tenus de mettre en oeuvre :

    - des mesures de sécurité physique par un accès contrôlé aux locaux hébergeant les serveurs et par la mise en oeuvre d'une procédure d’habilitation permettant de restreindre l’accès aux seules personnes habilitées, et

    - des mesures techniques par la protection des serveurs par des firewalls, filtres anti-spam et anti-virus, l'accès aux postes de travail par des mots de passe individuels et régulièrement renouvelés, l'utilisation de la carte de professionnel de santé pour accéder aux données, le chiffrement des données, etc.

Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux directeurs d'établissements de santé, publics comme privés, de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de formation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel.

L’absence de déploiement de mesures de sécurité technique ou la négligence dans le déploiement de mesures adaptées sont considérées comme des atteintes graves à la protection de la vie privée des personnes et sont sanctionnées pénalement (jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende - article 226-17 du code pénal). La violation du secret médical est punie d'un an d'emprisonnement et 15.000€ d'amende.


2. Les obligations de sécurité et de confidentialité des données de santé en cas d'externalisation

L’externalisation est entendue comme la sous-traitance à un prestataire tiers de certains types de traitements sur les données ou l’hébergement des données. Ces prestations restent soumises aux mêmes obligations de sécurité et de confidentialité. L’établissement de santé, considéré comme le responsable du traitement, doit donc s’assurer que son sous-traitant agit en conformité avec les obligations légales.

La sous-traitance  -  Le professionnel ou l'établissement de santé peut décider d'externaliser une partie du traitement des données des patients. Dans ce cas, le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité telles que prévues par la loi.

A ce titre, le contrat conclu entre le sous-traitant et le professionnel de santé doit détailler les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

L'hébergement de données de santé par un tiers  -  En cas d’hébergement par un tiers, le professionnel ou l'établissement de santé devra s'assurer que le prestataire met en oeuvre des mesures de sécurité suffisantes. A ce titre, le professionnel de santé doit faire héberger les données de ses patients chez un prestataire agréé par le ministre chargé de la santé, conformément aux articles L.1111-8 et R.1111-9 du Code de la santé publique.

L'obtention de l’agrément est soumise à la mise en oeuvre (i) de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées, et (ii) d'une politique de confidentialité et de sécurité. L'hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé.

La prestation d'hébergement fait l'objet d'un contrat avec le professionnel ou l'établissement de santé, détaillant notamment les prestations fournies et les modalités d'accès aux données.


3. Le rappel des conditions de la protection des données de santé par la CNIL

Malgré ces obligations fortes, de nombreux professionnels et établissements de santé peinent à se mettre en conformité avec la réglementation. Les professionnels des milieux hospitaliers (médecins, infirmiers, etc.), par exemple, ne sont pas toujours informés ni sensibilisés aux règles particulières devant être respectées en matière de sécurité des données. Des données de santé de patients identifiés sont régulièrement accessibles par des sous-traitants intervenant en milieu hospitalier ou dans des laboratoires d’analyses, ou ont même été rendues accessibles en ligne, par simple négligence.

A titre d’illustration, la CNIL, par une délibération du 25 septembre 2013, a mis en demeure publiquement le centre hospitalier de Saint-Malo pour non-respect de la confidentialité des données.

En l'espèce, suite à un contrôle réalisé au sein du centre hospitalier, la CNIL a constaté qu’un des prestataires avait accédé, avec l’accord de l’établissement, aux dossiers médicaux de plusieurs centaines de patients, en méconnaissance totale des dispositions du Code de la santé publique et de la loi Informatique et Libertés relatives au respect de la vie privée des patients et à la sécurité de leurs données.

Le sous-traitant avait été mandaté par le centre hospitalier pour une mission de codage des actes médicaux et paramédicaux. En effet, lors de la prise en charge d'un patient par un centre hospitalier, les actes pratiqués sont codés selon une nomenclature particulière, correspondant au code de remboursement par l'assurance maladie.

Le Code de la santé publique prévoit que les établissements doivent procéder à une analyse de leur activité pour détecter d'éventuelles erreurs de codage. Ces analyses sont généralement sous-traitées par les établissements de santé à des sociétés privées.

Or, la loi soumet le traitement de données à caractère personnel à des fins d'évaluation ou d'analyse des activités de soins et de prévention, à l'obtention d'une autorisation. La CNIL veille ainsi, par le biais de contrôles sur place, dans les établissements de santé, à ce que ces traitements ne portent pas sur les données nominatives des malades.

La mise en demeure prononcée par la CNIL a imposé au centre hospitalier de prendre des mesures garantissant la sécurité et la confidentialité des dossiers médicaux des patients pris en charge et de veiller à ce que ces dossiers ne puissent pas être accessibles aux tiers. En outre, l'établissement de santé devait justifier du respect de cette injonction auprès de la CNIL sous 10 jours.

Dans un communiqué du 17 octobre 2013, la CNIL a annoncé que le centre hospitalier s’était mis en conformité suite à la mise en demeure en mettant en oeuvre plusieurs mesures telles que la suppression de l’accès, par le sous-traitant, aux dossiers médicaux des patients, qui demeurent  désormais sous la seule autorité du médecin responsable de l'information médicale de l'établissement, et la formalisation d’une politique stricte de sécurité des systèmes d’information. (2)

Compte tenu de cette mise en conformité, la CNIL a décidé de clôturer la procédure à l’encontre du centre hospitalier de Saint-Malo.

                                                       * * * * * * * * * *

(1) Voir notamment les articles intitulés "Des centaines de résultats d'analyses médicales accessibles sur internet", publié sur www.rue89.com, le 10 janvier 2012 et "Fuite de données concernant une quarantaine de centres hospitaliers français", publié sur http://www.datasecuritybreach.fr/, le 31 octobre 2013.

(2) Délibération CNIL n°2013-037 du 25 septembre 2013 mettant en demeure le centre hospitalier de Saint-Malo, et Communiqué CNIL intitulé "Clôture de la mise en demeure adoptée à l’encontre du centre hospitalier de Saint-Malo" du 17 octobre 2013.


Bénédicte Deleporte - Avocat
Betty Sfez - Avocat

Deleporte Wentz Avocat

www.dwavocat.com

Novembre 2013

La protection du patrimoine informationnel de l’entreprise : un tour d’horizon

Une entreprise produit et collecte une multitude d'informations et de données de nature commerciale, industrielle, technique, comptable, scientifique, etc. Selon le secteur d'activité de l'entreprise, une partie de ces informations peut être considérée comme stratégique et sensible, constitutive du savoir-faire spécifique à l’entreprise. Ces informations ont donc une valeur patrimoniale considérable.

Dans un monde économique où la concurrence est exacerbée, le savoir-faire développé par l’entreprise conditionne sa pérennité. Toutes les entreprises, quels que soient leur taille ou leur secteur d’activité, sont concernées.

Plusieurs affaires d’espionnage industriel ont été rapportées dans les médias ces dernières années. Parmi celles-ci, on rappellera l’affaire Renault en 2011 où trois cadres auraient divulgué des informations sensibles à l’extérieur de l’entreprise, l’affaire Motorola en 2010 où un ex-employé aurait informé un équipementier télécom chinois pendant plusieurs années, en 2007, une ex-employée de Coca-Cola reconnue coupable d’avoir tenté de vendre des secrets commerciaux à son concurrent Pepsi, ou encore l’affaire Valéo en 2005 dans laquelle une stagiaire chinoise avait téléchargé et transféré à l’étranger des données confidentielles de l’entreprise.

Notre article a pour objet de faire un tour d’horizon des comportements à risque, pouvant résulter dans des fuites, des pertes, des divulgations ou des vols de données confidentielles, et des bonnes pratiques à déployer pour sensibiliser les salariés à la sécurité de l’information.


1. Les comportements à risque et leurs conséquences

Il existe toute une panoplie de comportements à risque pouvant aboutir à des divulgations d’informations confidentielles de l’entreprise. Ces comportements proviennent de personnes internes ou externes à l’entreprise : salariés, ex-salariés, stagiaires, consultants, partenaires commerciaux ou tiers.


    1.1 Les principaux types de comportements à risque

        1.1.1 Le comportement des salariés
La divulgation d'informations stratégiques de l’entreprise est souvent due à la négligence des salariés, plus rarement à une fraude d'un salarié ou ancien salarié. Les quelques exemples ci-après illustrent ces comportements, issus de l’environnement et des comportements quotidiens au travail :

    - L’ordinateur professionnel laissé sans surveillance, ou non verrouillé en l’absence de son utilisateur. Un ordinateur portable non attaché par un câble anti-vol et/ou laissé sans surveillance, dans l’entreprise ou lors d’interventions à l’extérieur de l’entreprise peut être très facilement subtilisé. Un ordinateur dont l’écran n’est pas verrouillé après quelques minutes de veille permet à toute personne d’accéder aux données sans manoeuvre particulière ;

    - La divulgation par des salariés d’informations confidentielles sur un blog et/ou via les réseaux sociaux : les salariés doivent être très vigilants concernant les informations publiées sur internet relatives à leurs activités professionnelles, telles que projets en cours de développement, négociations commerciales, rupture de contrats, situation financière de l’entreprise avant la publication des comptes, etc. ;

    - Le défaut de sécurité du système d'information, non protégé par un système anti-virus à jour ou dont les mots de passe ne sont pas assez robustes ou non changés régulièrement ;

    - Le piratage informatique par un salarié ou un ex-salarié qui s’introduit dans le système informatique de l’entreprise pour détruire ou détourner des données, alors que les accès au STAD (identifiant et mot de passe) ne sont pas modifiés régulièrement.

        1.1.2 Le comportement des stagiaires
Les stagiaires, notamment les jeunes issus de grandes écoles de commerce ou d’ingénieur, sont souvent amenés à travailler sur des projets innovants et pointus pendant leur stage en entreprise. Ces projets sont évidemment confidentiels, et doivent rester très encadrés par l’entreprise.

    - La diffusion et la mise en ligne de rapports de stage sur internet : certains étudiants diffusent leur rapport de stage au-delà de leur professeur, notamment en les mettant en ligne sur des sites web spécialisés. On peut ainsi trouver sur ces sites des rapports contenant des informations économiques ou technologiques sensibles. Il est donc recommandé de valider les rapports de stages pour notamment limiter leur diffusion ou demander que les informations confidentielles soient supprimées avant mise en ligne.

    1.2 L’espionnage industriel

Les manoeuvres, que l’on peut globalement qualifier d’espionnage industriel, peuvent provenir de partenaires commerciaux, français ou étrangers, voire de tiers avec lesquels l’entreprise n’a pas de contacts directs.

        1.2.1 Le comportement de partenaires commerciaux
    - La clé USB infectée par un programme malveillant : le fait de connecter une clé USB confiée par un tiers (pour permettre d’imprimer un document par exemple), à l’ordinateur professionnel du collaborateur, peut résulter en la propagation d’un virus, ou d’un programme malveillant d’aspiration des données stockées sur cet ordinateur ;

    - Le faux contrôle de sécurité de l'ordinateur portable : le cadre d’une société française, en déplacement chez un partenaire commercial à l’étranger a dû remettre son ordinateur au service de sécurité de l’entreprise partenaire pour un “contrôle de sécurité”. Le “contrôle” avait pour objet réel d’aspirer les données stockées sur cet ordinateur.

        1.2.2 Les tiers à l’entreprise
    - L’accès aux locaux sous couvert de maintenance informatique ou l’audit imprévu : des tiers à l’entreprise peuvent être admis dans les locaux pour des motifs apparemment “légitimes”. Ce type de personne a généralement quelques informations sur les prestataires tiers de la société et arrivent à convaincre les personnes de l’accueil qu’elles sont appelées dans le cadre d’une mission précise, telle que la maintenance informatique ou un audit administratif ou contractuel par exemple. Les procédures d’accès dans les locaux doivent donc être strictement contrôlées, notamment par une vérification d’identité et la confirmation de la mission par un responsable de l’entreprise ;

    - Le nouveau salarié (ou intérimaire) “infiltré” : des tiers peuvent se faire embaucher en vue d’avoir accès à des informations confidentielles de l’entreprise, pour les communiquer à un concurrent, puis discrètement quitter l’entreprise avant la fin de la période d’essai.

    1.3 Les risques et les conséquences pour l’entreprise

Tous ces exemples, tirés de faits réels ayant fait l’objet d’enquêtes en France et à l’étranger, et dans certains cas ayant abouti à des sanctions pénales, créent un grave préjudice pour l’entreprise, en termes économiques et d’image de marque.

Les risques et conséquences de ces divers comportements sont la divulgation, intentionnelle ou non, d’informations, documents, secrets de fabrication sensibles et/ou confidentiels à des tiers, concurrents commerciaux ou technologiques, français ou étrangers. Les conséquences peuvent être substantielles pour l’entreprise et résulter en perte de données ou de documents, mise hors service des ressources informatiques en cas de propagation de virus par exemple, atteinte à l'image de marque de la société ou à sa e-réputation, perte de chiffre d’affaires, perte de marchés, mise en cause de la responsabilité de l'entreprise pour atteinte à la sécurité de son système informatique avec perte de données personnelles, etc.

En conséquence, il est essentiel de mettre en oeuvre une politique interne de sensibilisation des salariés à la richesse informationnelle de l’entreprise, à la confidentialité des données et documents utilisés, et aux comportements à adopter au quotidien pour assurer un meilleur niveau de protection de ces données.


2. Les bonnes pratiques visant à protéger la richesse informationnelle de l'entreprise

Ces bonnes pratiques s’articulent autour de deux axes complémentaires : la mise en place d’une politique de sensibilisation des salariés et l’utilisation des outils juridiques appropriés.

    2.1 La mise en place d'une politique de sensibilisation à la sécurité économique et informatique

Cette politique de sensibilisation à la sécurité s’articule en plusieurs points :

    - La nomination d’un responsable sécurité, dont tout ou partie de la fonction consistera à élaborer une politique interne de sécurité (charte de sécurité), entérinée et sponsorisée par la direction de l’entreprise ;

    - L’identification des données et documents à protéger, par catégorie d’information, par département (finance, marketing, commercial, juridique, etc.), la durée de leur protection et les règles d’archivage physiques et dématérialisé ;

    - Le recensement des ressources IT de l’entreprise, et la définition d’une politique de gestion de ces ressources (charte informatique) ;

    - La sécurisation du système informatique de l’entreprise avec, en parallèle, le déploiement de la politique de sécurité informatique ;

    - La sécurisation des locaux, notamment par un contrôle des accès aux locaux de l’entreprise, la gestion des badges d’accès par catégories de personnes (employés, intérimaires, consultants, visiteurs, etc.) ;

    - La gestion du facteur humain par la sensibilisation à la sécurité de l’information, l’encadrement professionnel des stagiaires, la définition des règles de collaboration avec les partenaires commerciaux et les consultants, l’accompagnement des visiteurs, etc.

    - La protection de l’information à l’extérieur de l’entreprise, en déplacement, dans les lieux publics et les transports, en définissant des règles de conduite relatives à l’utilisation des équipements, aux réunions de travail dans des lieux ouverts au public ou dans les transports (train, avion) ;

    - La veille internet afin de détecter des fuites d’information et de surveiller l’e-réputation de l’entreprise.

Cette politique de sécurité doit être accompagnée des “outils” juridiques qui permettront de protéger cette information.

    2.2 Les outils juridiques permettant de protéger le patrimoine informationnel de l'entreprise

Le droit sert d’outil indispensable dans un but de protection de l'information de l'entreprise.

        2.2.1 La protection de la propriété intellectuelle
Bien que les idées, méthodes, théories, concepts et informations brutes ne soient pas des oeuvres protégeables par le droit de la propriété intellectuelle, il n’en est pas de même des créations ou oeuvres de l’esprit. Les marques, dessins et modèles, et brevets sont protégés par le droit de la propriété intellectuelle et industrielle. Les noms de domaine sont protégés pendant une durée d’un à 3 ans renouvelable.

Toute utilisation non autorisée d’une marque enregistrée, d’un modèle déposé ou d’un brevet est constitutive d’une contrefaçon, sanctionnée pénalement.

Il est recommandé de surveiller les marques de l’entreprise et celles des concurrents, en mettant en place une surveillance via un conseil en propriété industrielle par exemple, et en élaborant une politique de marque cohérente répondant à l'image de la société, ses produits et services.

En cas de contrefaçon, concurrence déloyale, plagiat ou parasitisme, il ne faut pas hésiter à réagir en préservant les moyens de preuve (constat d’huissier), puis si l’action est justifiée, en lançant des poursuites judiciaires à l’encontre des contrefacteurs ou du concurrent “indélicat”.

        2.2.2 La protection du savoir-faire
La protection du savoir-faire passe dans un premier temps par la mise en place des bons outils et techniques contractuels, afin de faciliter les moyens de défense en cas de violation de ses engagements par l’autre partie.

    - L’accord de confidentialité et la clause de confidentialité dans les contrats commerciaux : les futurs partenaires ont intérêt d'organiser contractuellement, dès le stade des pourparlers, le respect de la confidentialité des informations échangées. Dans un contrat commercial, la clause de confidentialité met à la charge de son débiteur, ou des deux parties, une obligation de secret concernant des informations communiquées (techniques, commerciales, financières) pendant la durée du contrat, voire le silence sur l'existence de négociations ou d'une relation contractuelle. Cette clause permet d'ériger automatiquement en faute la divulgation d'une information. Même s'il est souvent difficile de rapporter la preuve de la violation de l'obligation de confidentialité, cette clause a le mérite de la dissuasion ;

    - La clause de non-concurrence prive le co-contractant de la faculté d'exercer une activité professionnelle susceptible de concurrencer celle de l'autre, pendant la durée des relations contractuelles, et éventuellement après leur expiration, sur un territoire déterminé ;

    - La clause de non-sollicitation de personnel, par laquelle deux entreprises s'interdisent réciproquement de débaucher tout ou partie de leurs collaborateurs, a pour objet d'éviter le débauchage massif de collaborateurs aux compétences spécifiques.

        2.2.3 La protection des données numériques : la charte informatique
La charte informatique (ou charte technologique) est un document interne à l’entreprise, dont la finalité première est de préciser les règles applicables à l’utilisation des équipements et logiciels mis à la disposition des salariés, afin d’assurer la bonne gestion des ressources et la sécurité des réseaux et données de l’entreprise.

La mise en place d’une charte technologique au sein de l’entreprise a un double objectif : i) la nécessaire information des salariés sur les utilisations autorisées des technologies, et ii) les sanctions éventuellement applicables en cas de non-respect de ces règles, le tout dans un souci de bonne gestion des ressources et de sensibilisation des salariés à la sécurité des réseaux et des données de l’entreprise.

Pour être et rester efficace, la charte informatique doit être revue et mise à jour régulièrement afin de suivre les évolutions technologiques et les usages.

Il est recommandé de l’annexer au règlement intérieur de l’entreprise (dans le respect des dispositions du droit social) afin de la rendre opposable aux salariés, ainsi qu’aux intérimaires et consultants pendant la durée de leur mission dans l’entreprise.


La protection du patrimoine informationnel est l’affaire de tous dans l’entreprise et la sensibilisation des salariés aux enjeux de la maîtrise de l’information passe par la mise en oeuvre de bonnes pratiques reposant sur les deux axes de la politique de sensibilisation et des outils juridiques appropriés.

Il convient enfin de mentionner la proposition de loi sur la protection des informations économiques, discutée en première lecture à l’Assemblée Nationale le 23 janvier 2012. Ce texte a pour objet d’instaurer un nouveau délit d'atteinte au secret des affaires. La divulgation d'informations de nature commerciale, industrielle, financière, scientifique, technique ou stratégique, compromettant gravement les intérêts d'une entreprise (atteintes à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle) serait ainsi punie de 3 ans d'emprisonnement et 375.000€ d'amende. (1)

L’objectif est de construire une protection juridique efficace pour l’ensemble des informations et des connaissances de l’entreprise. Malheureusement, cette proposition de loi remonte à la précédente législature et n’est plus à l’ordre du jour du Parlement actuellement. On peut cependant espérer qu’elle ne restera pas lettre morte, et que l’on disposera d’un arsenal juridique spécifique dans un avenir proche, permettant de combattre les atteintes aux informations sensibles de l’entreprise de manière plus efficace.

                                                       * * * * * * * * * * *

* Article rédigé suite à une conférence donnée au Salon APS (Alarmes, Protection, Sécurité), sur la sécurité de l’information, le 26 septembre 2013.

(1) Proposition de loi de M. Bernard Carayon visant à sanctionner la violation du secret des affaires, n°3985, déposée le 22 novembre 2011, voir dossier législatif : http://www.senat.fr/dossier-legislatif/ppl11-284.html

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com
Octobre 2013