Informatique

Brevetabilité des logiciels

Les logiciels occupent aujourd’hui une place centrale dans la vie numérique. En effet, toute machine emporte avec elle un logiciel. Cependant une question qui s’est posée est celle de la brevetabilité des logiciels.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Selon la définition de l’Organisation mondiale de la Propriété intellectuelle (OMPI) un logiciel est « un ensemble d’instructions pouvant, une fois transposé sur un support déchiffrable par machine, faire indiquer, faire accomplir ou faire obtenir une fonction, une tâche ou un résultat particulier par une autre machine capable de faire du traitement de l’information ».

La conception du logiciel part de l’élaboration par un auteur d’un algorithme qui constitue un programme, que l’on appelle le « code source ». L’auteur peut lui donner la forme qu’il le souhaite du moment que ce code source peut être traduit en code binaire, également appelé « code objet », par un ‘compilateur’ afin d’être lu par un ordinateur.

Contrairement à une protection par le droit d’auteur, le brevetage d’un logiciel permettrait de protéger les fonctions même de ce dernier.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Ainsi, est-il possible de breveter un logiciel en France ?

S’il s’avère qu’il est possible de breveter un logiciel par exception au principe selon lequel seul le droit d’auteur protège les logiciels (I), une réforme européenne pourrait tendre à faire disparaître certaines critiques faites à l’égard des brevets logiciels (II).

I. La brevetabilité des logiciels

Exclue du droit français depuis 1968, la brevetabilité des logiciels (A), est en fait possible en pratique sous certaines conditions (B).

A) Le droit d’auteur, protecteur du contenu du logiciel

Le logiciel se distingue des œuvres de l’esprit plus traditionnelles en raison de sa spécificité d’être à la fois technique et immatériel, Le logiciel étant alors au croisement entre œuvre de l’esprit et invention technique, il n’a pas été simple pour la France de choisir sous quel régime de protection le placer.

Par crainte que l’ouverture de la France à la brevetabilité des logiciels ne bloque la recherche française en raison d’une potentielle inondation du marché par des demandes de brevets émanant du Japon ou des États-Unis, très en avance sur la France en la matière, mais aussi par crainte de complications techniques en matière juridique entre autres dans l’appréciation des critères de nouveauté et d’inventivité qui est opérée dans le cas d’un brevetage, et enfin, motivé par l’impossibilité pour le logiciel de remplir le caractère industriel alors exigé à tout brevetage d’invention, le législateur français a alors choisi le 2 janvier 1968, par la loi 68-1 (abrogée en 1992), d’interdire en son article 7, la brevetabilité du logiciel. La France reconnaît enfin expressément le logiciel comme une œuvre de l’esprit protégée par le droit d’auteur par la loi du 3 juillet 1985.

La directive européenne 91/250/CEE du Conseil relative à la protection juridique des programmes d’ordinateur de 1991 a également consacré cette assimilation des logiciels à des œuvres littéraires en son article premier, dans l’intention d’harmoniser les législations européennes.

Depuis, c’est le Code de la Propriété intellectuelle (CPI) qui consacre la protection par le droit d’auteur des logiciels, y compris le matériel de conception préparatoire, à l’article L112-2.

L’article L611-10 CPI prévoit quant à lui et pour les raisons citées en amont l’exclusion explicite de la brevetabilité des logiciels.

En pratique l’exclusion de brevetabilité des logiciels s’avère n’être en fait pas absolue.

B) Le brevet, protecteur de l’invention technique découlant du logiciel

Le 15 juin 1981, la cour d’appel de Paris s’est prononcée en faveur du brevetage d’un logiciel à condition que ce dernier soit constitutif d’une invention.

Conformément à cette décision, le législateur français a prévu à l’article L611-10 CPI que :

« 1. Sont brevetables, dans tous les domaines technologiques, les inventions nouvelles impliquant une activité inventive et susceptibles d’application industrielle.

  1. 2. Ne sont pas considérées comme des inventions au sens du premier alinéa du présent article notamment:
  2. c) Les plans, principes et méthodes dans l’exercice d’activités intellectuelles, en matière de jeu ou dans le domaine des activités économiques, ainsi que les programmes d’ordinateurs
  3. 3. Les dispositions du 2 du présent article n’excluent la brevetabilité des éléments énumérés auxdites dispositions que dans la mesure où la demande de brevet ou le brevet ne concerne que l’un de ces éléments considéré en tant que tel. »

Le législateur a donc autorisé la brevetabilité des inventions dont le logiciel est seulement « un [des] éléments ». Cela signifie que si un logiciel ne peut pas être breveté en tant que tel, il le devient une fois intégré à une invention plus globale.

Ainsi, le droit d’auteur protège le contenu du logiciel là où de façon complémentaire le brevet protège l’innovation technique qui en découle. L’ensemble du logiciel ne sera souvent pas breveté. Seule l’invention technique découlant du logiciel pourra être couverte. À cet effet, on peut dire que ce seront uniquement les éléments techniques utilisés par ce logiciel qui seront brevetés.

Jusqu’alors cantonné au secteur de la bureautique et de l’industrie, le logiciel est aujourd’hui un outil technique au cœur de tout type d’activités. On pourrait presque penser qu’exclure la brevetabilité des logiciels s’apparenterait alors à un refus de protéger toute innovation technique.

Cette  brevetabilité du logiciel peut donc être menacée et l’est encore plus aujourd’hui, avec le développement des nouvelles technologies, tel que peuvent l’attester les nombreuses procédures judiciaires dans lesquelles intervient le cabinet dans ce type d’affaires.

Là où la protection par le droit d’auteur s’acquiert sans formalité de dépôt, l’article L111-2 CPI disposant en effet que « l’œuvre est réputée créer indépendamment de toute divulgation publique du seul fait de la réalisation même inachevée de la conception de l’auteur », le dépôt d’une invention s’effectue en revanche auprès de l’Institut National de la Propriété intellectuelle (INPI) et nécessite de s’acquitter d’une redevance de dépôt.

En dépit des avantages que présente la protection d’un logiciel par le droit d’auteur, l’OMPI avertit tout de même les éditeurs de logiciels que celle-ci « s’étend uniquement aux expressions, et non aux idées, procédures, méthodes de fonctionnement ou concepts mathématiques en tant que tels. Ainsi, de nombreuses sociétés protègent le code objet des programmes informatiques par le droit d’auteur tandis que le code source est protégé comme secret d’affaires. »

Bien que les brevets logiciels jouissent d’un fondement légal implicite en droit français, le débat les concernant divise énormément l’opinion publique et les critiques qu’ils subissent impactent grandement leur développement.

II. Critiques et perspective d’évolution

A) Les critiques du brevet logiciel

Source de nombreux débats, la brevetabilité des logiciels peut être perçue comme une limitation à l’innovation logicielle, ou bien comme un moyen de les promouvoir. Il est fréquent dans ce débat que les pour et les contres soient mal entendus.
Débordant de complexité, les débats sur la brevetabilité des logiciels ont été menés à toutes les échelles, autant nationale, européenne et même internationale. C’est précisément la complexité de ce sujet qui le rend aussi vivant et débattu, d’autant plus qu’il fait  également intervenir la branche des droits d’auteur.

Pilier fondamental de l’innovation technologique, la propriété intellectuelle a toujours protégé les secteurs traditionnels tels que l’industrie chimique ou automobile et continuera, toujours dans cette lancée, à protéger les nouveaux secteurs de l’innovation technique dont fait partie l’industrie de l’informatique. C’est pourquoi, la question de la brevetabilité du logiciel a entièrement sa place et que les débats qu’elle génère sont menés avec passion.

Si l’Europe s’est toujours montrée réticente en matière de brevetabilité des logiciels, les États-Unis et le Japon ont quant à eux consacré une protection par brevet du logiciel depuis les débuts de ce dernier, contribuant grandement à la croissance de l’industrie du logiciel dans ces régions-ci du monde.

En France le 12 septembre 2001, les conseillers du Premier ministre recevaient L’AFUL et l’April pour clarifier la position du gouvernement en matière de brevets logiciels. Le gouvernement avait alors indiqué ne pas avoir s’être encore positionné sur la question. Les deux associations l’avaient par ailleurs critiqué pour la publicité qu’il avait faite à propos de l’avis, erroné, de l’Académie des technologies portant sur les brevets logiciels.

L’AFUL et l’April ne sont pas défavorables au brevet logiciel tant que ce dernier favorise réellement l’innovation au lieu d’être utilisé pour limiter le développement de nouveaux logiciels.

Les rapports du Conseil général des mines et celui du Comité de coordination des sciences et technologies de l’information et de la communication précisaient en ce sens que : « le brevet logiciel a un impact négatif sur l’innovation et la concurrence, et qu’il est probablement impossible d’éviter une extension du système de brevet aux algorithmes, aux mathématiques, aux méthodes d’affaires et toutes les méthodes intellectuelles si le brevetage du logiciel était légalisé ».

L’April, dite association de promotion et de défense du logiciel libre, a formulé sur son site, en janvier 2010, une critique des brevets logiciels.

Dans le domaine du logiciel, considérant que chaque innovation repose sur celles qui l’ont précédée, dès lors qu’une innovation antérieure vient à être brevetée, alors toutes les nouvelles inventions s’étant basées dessus ne peuvent être librement diffusées, le détenteur du brevet antérieur disposant d’un droit exclusif sur toute nouvelle utilisation de sons brevet.

La même chose viendrait à se produire pour tout éditeur de logiciel ayant eu recours à un logiciel tombant dans le champ de protection défini par les restrictions du brevet antérieur.

Le droit exclusif du détenteur d’un brevet peut prendre différentes formes comme contrôler l’usage qui est fait du logiciel breveté, la demande de paiement d’une redevance ou de pourcentage sur les bénéfices.

L’April déplore les risques que pourraient présenter les brevets logiciels : « Étant donnée la nature incrémentale du logiciel, l’ensemble de la production logicielle serait alors soumis au bon vouloir de quelques détenteurs de brevets »

Il est par ailleurs fait reproche au fait que la durée de vie d’un logiciel, devenant obsolète après à peine quelques années, n’est pas en adéquation avec celle d’un brevet qui continue quant à lui de restreindre toute innovation entrant dans son champ de protection pendant deux décennies entières. L’April commente ainsi que « les brevets logiciels n’incitent donc pas à l’innovation : ils sont utilisés de manière dévoyée pour s’assurer par la loi un avantage concurrentiel, aidés en cela par une incertitude juridique qui permet de tenir à l’écart les concurrents sur le segment de marché concerné. »

Il n’a été fait mention tout au long de cet article que du brevet français, mais le brevet européen comporte également son lot d’avantages, octroyant entre autres une protection à échelle communautaire.

Cependant, ce dernier est aussi vivement critiqué en raison de sa procédure très lente. Le dépôt du brevet européen requiert en effet la validation de 38 États dans 29 langues différentes. Le brevet européen est également critiqué pour le coût extrêmement onéreux de la redevance accompagnant le dépôt, de l’ordre de 36 000 euros. Par conséquent, le brevet européen se montre très inégalitaire pour les PME et accessible qu’aux grandes entreprises.

Enfin, la densité et complexité de la procédure de dépôt du brevet européen est critiquée pour les risques de fuite d’information qu’elle engendre en raison de l’intervention de nombreux acteurs, impliqués dans les traductions par exemple.

Tous ces facteurs nuisent à l’efficacité et par conséquent au développement du brevet européen.

Selon l’April, le secteur du logiciel libre serait menacé par les brevets logiciels qu’elle considère comme des armes utilisées par les monopoles pour exclure leurs concurrents du marché.

B) La perspective européenne d’une atténuation de ces critiques

L’article 52 de la Convention sur la délivrance de brevets européens du 5 octobre 1973 dite « Convention de Munich » excluait les logiciels du champ des inventions brevetables.

Néanmoins, l’Office européen des brevets (OEB), a, depuis sa création en 1977, délivré un nombre important de brevets européens, ce qui a abouti à une jurisprudence ambiguë, contraire à la Convention de Munich. L’OEB a effectivement admis la brevetabilité de logiciels innovants associés à quelque chose de déjà connu, ce qui revient en d’autres termes à inclure dans la brevetabilité des logiciels l’innovation permettant de surpasser une difficulté technique d’un programme déjà existant. L’OEB a aussi interprété largement la notion de « caractère technique » pour permettre de protéger les logiciels apportant un « effet technique supplémentaire ».

Si l’on regarde de plus près, l’accord sur les Aspects de droits de propriété intellectuelle liés au commerce (Adpic) prévoit qu’« un brevet pourra être obtenu pour toute invention, de produit ou de procédé, dans tous les domaines [techniques], à condition qu’elle soit nouvelle, qu’elle implique une activité inventive et qu’elle soit susceptible d’application industrielle ». Il ressort de cette terminologie que les logiciels sont inclus dans les inventions brevetables, dédouanant alors légèrement l’OEB pour ses dérives jurisprudentielles, le véritable problème étant alors plutôt que la Convention de Munich n’a pas été modifiée à la lumière de l’accord sur les Adpic.

Envieux des législations américaines et nippones qui accordent une importance capitale à la brevetabilité des logiciels et où même les méthodes d’affaires peuvent être brevetées, ce à quoi l’OEB est fermement opposée, les grands éditeurs de logiciels font pression pour tendre vers une brevetabilité des logiciels « en tant que tels ».

Encline à conserver le droit d’auteur comme protection de principe du logiciel, l’exemple américano-nippon en ce qui concerne les logiciels comportant de vraies innovations ne manqua pas d’inspirer la Commission européenne qui serait prête à faire coexister droit d’auteur et brevets.

Ainsi, un premier projet de directive avait complètement échoué, d’une part par manque de clarté, mais aussi parce qu’il avait attisé les critiques des PME et des partisans du logiciel libre.

La nouvelle proposition de la Commission soumise en 2004 fut également un échec, à tel point qu’aucun des nombreux amendements déposés ne fut entendu, amenant évidemment à un nouveau refus en 2005.

Depuis, toute évolution en ce sens semble avoir cessé, présentant les inconvénients de laisser l’OEB en charge de la matière et exposant ainsi l’UE à ses dérives, mais surtout un tel blocage dans l’évolution de la brevetabilité des logiciels contribue à l’agrandissement du fossé séparant l’Europe des États-Unis et du Japon en matière de concurrence dans l’industrie du logiciel.

Toutefois, un projet intitulé le « Paquet brevet de l’Union européenne » proposé en 2011 par la Commission, a été adopté par le Parlement européen en 2012. Ce texte vise à mettre en place un brevet unitaire européen déposable à l’OEB et assurant automatiquement une protection dans les 25 États ayant ratifié, dispensant ainsi des longues procédures de validation.

D’un point de vue financier, la Commission a estimé que le montant de la redevance dont devrait s’acquitter un éditeur voulant déposer un brevet unitaire européen pourrait descendre à 4725 euros. De plus, un système d’aide pour les PME, les organisations à but non lucratif, les universités et les organisations publiques de recherche serait mis en place, renforçant la coopération européenne.

À cela s’ajouterait une unification linguistique du brevet unitaire européen. Le brevet devrait être déposé en français, en anglais ou bien en allemand, tandis que des compensations permettant de financer une traduction pourrait être octroyée aux États dont aucune de ces trois langues n’est parlée officiellement.

Enfin, une juridiction unique serait mise en place à Paris pour connaître des recours en contrefaçon et en validité des brevets.

En dépit de l’enthousiasme se dégageant d’un tel projet, la création du brevet unitaire européen s’est avérée plus complexe que prévu et l’Allemagne et le Royaume-Uni ont alors bloqué son entrée en vigueur.

Malgré le vote du Brexit en 2016, le Royaume avait ratifié le premier texte de 2012 ainsi que l’accord sur la juridiction unitaire du brevet (JUB) de 2018. Mais, sans doute parce qu’il aurait été étrange qu’une nation souhaitant être entièrement indépendante n’accepte d’être soumise aux droits l’UE, le Royaume-Uni décide en 2020 de ne plus participer au système unifié.

En Allemagne en revanche, un recours avait été déposé en 2017 contre la loi de ratification de la JUB dont il était estimé qu’elle menaçait les droits régaliens de l’État. La cour constitutionnelle fédérale allemande décida le 20 mars 2020, d’annuler la loi de ratification de la directive et remettant en cause ses conditions de ratification. En effet, un vote du parlement à la majorité des deux tiers serait nécessaire avant de pouvoir autoriser une juridiction non-étatique à se substituer aux juridictions allemandes.

Finalement, si la mise en place de ce brevet unitaire européen pourrait promouvoir l’innovation et améliorer la protection des détenteurs de brevets nationaux, mais aussi européens, cela permettrait également un meilleur développement des brevets logiciels permettant à terme de rivaliser avec les concurrents japonais et américains.

Pour conclure, on pourrait se questionner sur le fait que les nombreux rapports et avis du gouvernement français sembleraient pencher en faveur des grands éditeurs de logiciels, déséquilibrant ainsi illégitimement la balance face aux partisans des logiciels libres.

Cependant, la loi n° 2016-1321 pour une république numérique promulguée le 7 octobre 2016 encourage l’utilisation de logiciels libres au sein des administrations publiques en son article 16. Considérée comme une intrusion anticonstitutionnelle de l’État dans la vie des affaires des entreprises, en contradiction avec le principe de neutralité de l’État, il pourrait sembler, comme le défend l’April, qu’une telle mesure, privée de caractère contraignant, ne soit qu’un coup d’épée dans l’eau dans le combat en faveur des logiciels libres.

Pour lire une version plus complète de cet article sur la brevetabilité du logiciel, cliquez

Sources :
Cour d’appel de Paris, Pôle 5, Chambre 1, 14 janvier 2020, N° 002/2020.
Cour d’appel de Paris, 4ème chambre, Section A, 15 juin 1981, Prospection Electrique Shlumberger c/ INPI
Philippe le Tourneau, Dalloz référence : Contrats du numérique (Dalloz, 2021) 221.61-221.65
https://www.wipo.int/patents/fr/faq_patents.html
https://www.april.org/synthese-les-brevets-logiciels

Intrusion dans un système informatique

Si le phénomène du piratage informatique a, d’ores et déjà, fait l’objet d’une intervention législative, conduisant à l’insertion, par le biais de la loi Godfrain du 5 janvier 1988, dans le code pénal des dispositions spécifiques à l’accès et maintien frauduleux dans un système de traitement automatisé de données (art. 323-1 et s. Code pénal), des nouveaux problèmes liés à la technologie de l’information ne cessent d’apparaître.

C’est le cas, par exemple de la technique dite d’aspiration d’un site web, qui permet à l’internaute de récupérer partiellement ou entièrement le contenu d’une surface interactive et de l’archiver dans le disque dur de son ordinateur, afin de pouvoir y accéder hors connexion.

Les deux techniques -l’intrusion dans un système informatique et l’aspiration de site- présentent des similarités, en ce qui concerne, notamment leur mode d’exécution : des programmes spécifiques, voire des logiciels très élaborés, sont utilisés tant pour accéder dans un système de traitement automatisé de données que pour ” aspirer ” un site web. Ce fait, pourtant, ne suffit pas pour les assimiler.

En effet, dans le cas de l’accès et maintien frauduleux dans un système informatique, il s’agit bien d’une infraction pénale, qui consiste essentiellement à pénétrer sans droit dans un système en en forçant l’accès. Les dispositions du Code pénal permettent de lutter contre les intrusions frauduleuses (connexion pirate, appel d’un programme ou d’un fichier sans autorisation etc), le maintien frauduleux, l’entrave d’un système ou l’altération de son fonctionnement (virus, mail bombing etc), ainsi que l’altération, la suppression ou l’introduction de données pirates.

En revanche, dans le cas de l’aspiration de site, il s’agit d’une technique non appréhendée par une disposition spécifique de droit. Ceci dit, il pourrait s’agir d’une méthode tout à fait licite. Or, le fait de copier tout ou une partie du contenu d’un site web, afin de pouvoir le visualiser sans être connecté, est susceptible de porter atteinte aux droits d’auteur du créateur dudit site.

 

I. L’intrusion dans un système informatique.

Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir.

Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique.

L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme ” net” (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système.

Dans ce cas là, le pirate utilise souvent des programmes de déchiffrage qui fonctionnent avec des dictionnaires proposant de nombreux mots de passe à des fréquences très élevées (jusqu’à plusieurs milliers de mots de passe par seconde).

Après la prise de contrôle, souvent indécelable, le pirate peut introduire des programmes de corruption (virus, bombe etc), modifier des données (par exemple défigurer une page web), installer des programmes espions (Sniffer).

A) La responsabilité pénale

La loi Godfrain du 8 janvier 1988, bien qu’élaborée à une époque où on ne parlait pas encore d’Internet et dont les dispositions ont été reprises par le Code pénal dans un chapitre intitulé “ Des atteintes au système de traitement automatisé de données “, permet de sanctionner toutes les intrusions non autorisées dans un système informatique. Les sanctions prévues varient selon que l’intrusion a eu ou non une incidence sur le système en cause.

L’article L.323-1 du Nouveau code pénal prévoit que ” le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 euros d’amende “. Ces systèmes comprennent, entre autre, les sites web.

1) Accès frauduleux

La Cour d’appel de Paris a considéré dans un arrêt du 5 avril 1994 que ” l’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de communication “.

Quid, pourtant, si le système n’est pas protégé ? La Cour d’appel de Paris, dans un arrêt en date du 30 octobre 2002, a jugé que la possibilité d’accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n’est pas répréhensible.

Elle a, ainsi, reformé le jugement du Tribunal de grande instance de Paris, qui avait estimait que l’existence des failles de sécurité ne constituait “ en aucun cas une excuse ou un prétexte pour le prévenu d’accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d’une infraction pénale “.

En effet, l’article 226-17 du Code Pénal réprime le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment d’empêcher qu’elles ne soient communiquées à des tiers non-autorisés.

2) Le maintien frauduleux

La loi incrimine également le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui y est entré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement ( Cour d’appel de Paris, jugement du 5 avril 1994 précité).

Quant à l’élément intentionnel de cette infraction, la doctrine et la jurisprudence s’accordent à admettre que l’adverbe ” frauduleusement ” n’est pas le dol général de l’attitude volontaire, ni le dol très spécial de l’intention de nuire, mais la conscience chez le délinquant que l’accès ou le maintien ne lui était pas autorisé.

3) Les intrusions avec dommages

L’alinéa 2 de l’article 323-1 du nouveau Code pénal prévoit un renforcement des sanctions, lorsque l’intrusion et le maintien frauduleux ont certaines conséquences :

Lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 euros d’amende

Ne sont concernées par cet article que les altérations involontaires. L’entrave volontaire au système ou l’entrave volontaire aux données sont visés par les articles 323-2 et 323-3 du nouveau Code pénal.

Les entraves volontaires au système ou aux données s’y trouvant.

L’article 323-2 du Nouveau Code pénal définit l’entrave volontaire au système comme ” Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données “. Le peine encourue est de trois ans d’emprisonnement et de 45.000 euros d’amende.”
Cette infraction vise, notamment, l’introduction des programmes susceptibles d’entraîner une perturbation au système, tels que les virus, les bombes logiques etc.

L’article 323-3 du Nouveau Code pénal sanctionne, par ailleurs, l’introduction, la suppression ou la modification frauduleuses de données dans un système informatique. Les applications illicites visées par cet article sont nombreuses. Elles peuvent aller de la réduction du prix des marchandises sur un site de commerce électronique, la modification ou la suppression du contenu des bases de données à la modification du statut fiscal de l’entreprise.

En tout cas, ces agissements sont susceptibles d’entraîner une perte financière considérable au sein de l’entreprise.

B ) La responsabilité civile

1) La responsabilité civile contractuelle

Le droit commun de la responsabilité civile délictuelle est fondée sur la nation de la faute au sens de l’article 1382 du Code civil. Elle nécessite une faute, un dommage et un lien de causalité entre les deux.

La faute consiste ici en une intrusion dans un système informatique à l’insu de son utilisateur. Quant au dommage, il faut savoir s’il y a eu une perte et/ou une altération des informations contenues dans le site ou si le pirate a communiqué les données personnelles s’y trouvant à des tiers. Enfin, le lien de causalité entre la faute et le dommage doit être clairement établi.

Quid, pourtant, si le pirate n’est pas de nationalité française ou s’il opère de l’étranger ? La question qui se pose, dans ce cas, est celle de la compétence judiciaire internationale et de la loi applicable.

En droit français, le tribunal compétent pour juger un litige international est, en principe, celui du domicile du défendeur, à moins que le demandeur, s’il est français, ne souhaite invoquer le privilège de juridiction des articles 14 et 15 du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement ” concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale “.

S’agissant d’un délit ou d’un quasi-délit, les articles 5§3 de la Convention de Bruxelles et du règlement 44/2001 précité, posent une règle de compétence spéciale en faveur du tribunal où le fait dommageable s’est produit ou risque de se produire.

Ce lieu peut être aussi bien celui où le dommage est survenu qui celui de l’événement causal qui est à l’origine de ce dommage (CJCE, 30 novembre 1976, aff. C-21/76, Mines de potasse d’Alsace : Rec. CJCE, p. 1735).

Dans le cas où le dommage, causé par l’intrusion, serait survenu au sein du système informatique d’une société domiciliée en France, les juridictions françaises seraient sans doute compétentes pour juger le litige.

Quant à la loi applicable, le juge applique, de manière générale la lex loci delicti, c’est à dire la loi où le fait dommageable s’est produit. La Cour de Cassation a jugé que le lieu où le fait dommageable s’est produit s’entend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier (Cass. 1re civ., 14 janvier 1997, D. 1997, p.177).

2) La responsabilité civile contractuelle.

Il est possible, en effet, d’engager la responsabilité civile contractuelle de l’héberger du site. Pour cela, il faudrait examiner les clauses contenues dans le contrat d’hébergement concernant notamment la sécurité du site et la mise en place de systèmes informatiques de protection contre toute forme d’intrusion. Il faudrait aussi qualifier cette obligation de l’héberger : s’agit-il d’une obligation de résultat ou de moyens ? Dans la plus part de cas, il ne pourra s’agir que d’une obligation de moyens qui aura pour effet de contraindre le prestataire d’apporter la preuve qu’il n’a pas manqué aux obligations normales qui lui incombaient, en cas d’intrusion informatique non autorisée.

 

II. Les mesures préventives

Certes, la possibilité d’intenter une action a posteriori contre le responsable de l’intrusion existe. Est-ce, pourtant, une solution efficace ?

Sur le plan juridique, la difficulté réside sur l’administration de la preuve, d’autant plus si l’intrusion a été effectuée à partir d’un réseau ouvert de type Internet. En effet, même si l’origine de cette intrusion peut être détectée, l’identification de la personne qui se cache derrière celle-ci peut s’avérer extrêmement difficile.

Or, l’étendue les dommages susceptibles d’être causés tant aux systèmes d’information attaqués et, par voie de conséquence, à l’entreprise qui les gère qu’à la crédibilité de cette dernière sur le plan professionnel, impose que des mesures de précaution soient prises.

En premier lieu, il est important d’insérer dans tous les contrats techniques une clause concernant la sécurité du contenu du système en cause, sous le double angle de la sécurité physique et logique.

Dans le premier cas, il s’agira de déterminer les conditions d’accès au serveur en tant que matériel informatique (contrôle des personnes ayant accès dans l’espace où sera localisé le serveur, conditions d’intervention en cas de panne etc).

Dans l’hypothèse de la sécurité logique, le prestataire devra assurer la mise en place de systèmes informatiques de protection conformes aux technologies disponibles (sécurité logicielle, fire wall, anti-virus etc). A cet effet, une des solutions les plus efficaces consiste à isoler l’ordinateur connecté à l’Internet, afin d’empêcher les utilisateurs de s’en servir pour naviguer sur l’ensemble du système informatique.

Les systèmes de signature électronique et de cryptologie permettent également d’assurer la sécurité des échanges.

Par ailleurs, on peut imaginer qu’une entreprise puisse souscrire une assurance contre le risque d’attaque informatique. Dans ce cas précis, le dédommagement dépendra du type d’assurance souscrite.

III. L’aspiration de site

La technique d’aspiration de site consiste, comme on l’a déjà précisé, à copier, partiellement ou entièrement le contenu d’un site, ainsi que des pages liées, sur le disque dur de l’ordinateur de l’utilisateur, afin de pouvoir y accéder hors connexion. Le site ainsi ” aspiré ” s’ouvre comme n’importe quel fichier sans attente ni risque de coupure de la connexion.

Il existe, en effet, des logiciels, tel que Mémoweb, qui permettent de récupérer les images, les sons, de préserver les liens entre les pages, et offrent de multiples capacités de traitement supplémentaires (mise à jour automatique des sites et des changements éventuels, comparaison périodique de pages…).

Il est vrai que l’aspiration des sites a suscité des multiples interrogations quant à sa légitimité face au droit d’auteur. D’autant plus que, comme on va le voir par la suite, les réponses données par l’application du droit de la propriété intellectuelle peuvent varier selon la catégorie à la quelle l’œuvre en cause s’attache.

A) L’aspiration de site face aux droits de propriété intellectuelle

1) Droit d’auteur

L’auteur d’un œuvre bénéficie d’une protection élevée en France et en Europe en application des droits qui lui sont conférés par le CPI, ainsi que par la directive CE 2001/29 du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information.

La jurisprudence française considère, depuis un jugement du Tribunal de commerce de Paris du 9 février 1998, que le contenu des pages web est protégeable au titre des droits d’auteurs. Pour cela, il faut que les critères posés par le CPI – création originale, fixée sur un support- soient remplis. Ainsi, l’art. L.122-4 du CPI dispose que ” Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur ou de ses ayants droits au ayants cause est illicite ” et elle est donc punie à titre de contrefaçon.

Or, l’interdiction de la reproduction intégrale ou partielle de l’œuvre, faite sans le consentement de son auteur ne comprend pas, selon l’article 122-5 2° du CPI, ” les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective “.

Ceci dit, l’aspiration d’un site peut parfaitement être considérée comme l’exercice par l’utilisateur de son droit de copie privée d’une œuvre déjà divulguée.

En d’autres termes, la légitimité de la technique d’aspiration d’un site, face au droit d’auteur qu’on présume applicable, dépend, comme c’est le cas pour tous les œuvres de l’esprit bénéficiant de la protection par ce dernier, de l’utilisation qu’en est faite. Ainsi, la projection d’un site aspiré devant un publique serait, sans doute, considérée comme une utilisation collective de l’œuvre et serait, donc, interdite, à moins que le titulaire des droits n’ait pas donné préalablement son accord.

2) La protection des bases de données

Selon l’article L.341-1 du CPI : ” Le producteur d’une base de données, entendu comme la personne qui prend l’initiative et assure le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain, substantiel. Cette protection est indépendante et s’exerce sans préjudice de cesses résultant du droit d’auteur ou d’un autre droit sur la base de données ou un de ses éléments constitutifs “.

Le producteur d’une base de données a le droit d’interdire l’extraction, par transfert permanent ou temporaire, de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, ainsi que la réutilisation, par la mise à la disposition du public de ceci (art. L. 342-1 CPI).

L’article 122-4 du CPI exclue le droit de copie privée pour les ” copies et reproductions d’une base de données électronique “.

Il reste à savoir ce qu’on l’en entend comme base de données. A cet égard, l’article L. 112-3 du CPI dispose qu’ ” on entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout moyen “.

Or, si certains sites web peuvent être considérés comme des bases de données, la majorité d’entre eux ne le sont pas. La raison est qu’ils ne répondent pas à la définition de ” recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique “.

En effet, si un site de compilation de données (un annuaire en ligne par exemple ou un site portail) constitue certainement une base de données, un site classique (site commercial) ne semble pas pour autant pouvoir revêtir cette qualification ; dans le cas de ce dernier, l’assemblage d’images, de sons et de textes n’a rien ni d’une disposition systématique, ni d’un recueil de données.

Qu’en est-il, pourtant, des sites commerciaux qui constituent et mettent à jour en permanence des bases des données sur leurs clients ou des sites qui proposent des modes de recherche, nécessitant le passage par une ou plusieurs bases de données ?

Dans ces cas très fréquents, il faut considérer que l’objet de la protection c’est non pas le site entier, qui ne présente, par ailleurs, aucune structure systématique et méthodique, mais seulement la base elle-même. Cette dernière, d’ailleurs, n’est pas visible pas les internautes et par conséquent elle ne peut pas être aspirée. L’accès à une telle base constituerait l’infraction, décrite ci-dessus, d’accès et maintien dans un système de traitement automatisé de données.

B) L’aspiration d’un site peut-elle être considérée comme une intrusion dans un système informatique ?

Pour que l’aspiration d’un site puisse être sanctionnée au titre de l’article 323-1 du Code pénal, il faut, avant tout, qu’il y ait eu intrusion dans un système informatique au sens de ce même article. Or, il n’y a intrusion que si la pénétration dans le système informatique en cause a été effectuée de manière irrégulière par une personne non-autorisée.

Comme le montre la décision récente de la Cour d’appel de Paris précitée, il ne suffit pas que la personne acteur de l’intrusion n’avait pas le droit d’accès dans le système, mais encore faut-il qu’il en ait forcé l’accès, en utilisant une méthode particulière et non pas un simple navigateur.

L’aspiration d’un site s’effectue bien sur avec des logiciels spéciaux. En plus, dans la plus part de cas, l’utilisateur ne demande pas l’autorisation préalable du créateur du site. Or, l’accès à ce dernier n’est nullement forcé!

Enfin, si des dégâts au contenu ou au système du site ont été causés, le préjudice pourra être réparé sur le fondement de la responsabilité civile délictuelle, à la condition, toutefois, de rapporter la preuve du lien de causalité entre l’aspiration et le dommage.

L’aspiration d’un site n’est rien d’autre qu’un téléchargement simultané de tous les éléments d’une page ou d’un site web. Mis à part l’hypothèse où le site puisse être considéré en lui-même comme une base de données et supposant que l’accès à celui-ci est libre, rien a priori ne semble s’opposer à son aspiration pour des fins privés.

ARTICLES EN RELATION

 

Protection de la vie privée

a protection de la vie privée est un principe essentiel aujourd’hui. Cependant, l’arrivée d’internet a complètement modifié les mœurs, c’est pourquoi il est nécessaire de s’arrêter sur la protection de la vie privée dans le cadre d’internet.

Est-il légal d’adresser un e mail (ou un SMS) à un prospect qui n’a a priori pas fait de démarches pour recevoir ces messages ?
 
Le problème en réalité se pose uniquement sur le respect de règles de formes de création d’un fichier. En effet la création d’un fichier contenant des informations nominatives est soumise à l’autorisation de la Commission Nationale Informatique et Libertés (CNIL). Lors de la création de ce fichier, le déclarant précisera les informations contenues dans ce fichier et leur finalité.
La CNIL accordera alors ou non l’agrément. Si le fichier est prévu dés l’origine pour de la prospection à vocation commerciale, le fichier en lui-même est licite et son utilisation dans le cadre de la finalité déclarée l’est tout autant. Par conséquent si la constitution du fichier est légale, l’envoi d’e-mail, de SMS, de courrier, de fax aux individus fichés est légal.
En France, la loi informatique et liberté accorde aux personnes fichées un droit d’accès, de communication et de rectification sur les fichiers concernés, le droit de rectification emporte le droit d’effacement des informations concernant la personne fichée.

 

Un fichier de prospects dit “qualifié” peut-il être revendu à un tiers ? (par exemple, une société vient de racheter une start up qui vient de déposer le bilan afin d’utiliser son fichier, est ce légal ?)

Le principe est simple : si l’internaute n’a pas manifesté son opposition, l’entreprise est libre de céder les données comme bon lui semble. Au delà de cette obligation d’information a priori, il n’existe aucune obligation a posteriori. La protection de l’internaute fiché n’est pas la règle, elle est l’exception.
La jurisprudence a d’ailleurs mis l’accent sur cette absence d’obligation a posteriori dans un arrêt de la Cour de cassation en date du 25 octobre 1995 : ” la loi du 6 janvier 1978 ne fait nulle obligation au responsable du fichier, qui recueille auprès des tiers des informations nominatives aux fins de traitement, d’en avertir la personne concernée “.
En d’autres termes, la loi n’oblige nullement le tiers à qui l’entreprise a vendu les données personnelles de l’internaute à avertir celui-ci de la cession.

Dès lors, ignorant la situation de faillite et la cession consécutive du fichier, l’internaute ne fera pas valoir son droit d’opposition, ce qui limite singulièrement la portée effective de ce droit. On trouve de plus en plus souvent dans les formulaires collectant les données une clause visant à interdire la cession aux tiers du type ” Je ne souhaite pas que ces informations soient communiquées à des tiers “. Dans cette hypothèse les informations ne peuvent pas être cédées à un tiers.
Avant d’envisager une revente des fichiers il faudra chaque fois vérifier que les conditions légales de la réexploitation des données personnelles sont rencontrées.
Les entreprises tentent par tous les moyens de rassurer les internautes en élaborant des chartes. Ces pratiques sont d’ailleurs encouragées tant par la directive précitée que par la CNIL.
Il est rappelé que les chartes, quel qu’en soit le contenu, ne constituent que de simples engagements moraux.

 

Ou en est le droit français à l’heure actuelle sur la protection des données ? (et notamment sur la revente des fichiers)
Le droit français concernant la protection des données personnelles est aujourd’hui encore fondée principalement sur la loi ” informatique et liberté ” du 6 janvier 1978.
On notera toutefois qu’une directive européenne du 24 octobre 1995 et qui devrait être transposée en droit français promet certaines améliorations au profit de la personne fichée.

Ce texte dispose en particulier dans son article 14 que la personne fichée devra être informée avant que les données ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection.

Il consacre de plus un nouveau droit d’opposition dont la mise en œuvre sera plus efficace. A la différence de la loi de 1978 en effet, ce droit est gratuit et n’a plus à être motivé pour les demandes concernant des fichiers établis à des fins de prospection commerciale.
Avec l’opt-in, pas de démarchage sans l’accord des destinataires. Avec l’opt-out, c’est au démarché d’arrêter les spammers.( droit français) Le principe dit de l’opt-in est déjà adopté par certains pays de l’Union Européenne, dont l’Italie, l’Autriche, la Finlande et le Danemark.

ARTICLES EN RELATION

La sécurité et les systèmes informatique

I – La responsabilité civile contractuelle

A) Les logiciels espions

Deux hypothèses pourraient engager la responsabilité contractuelle de l’éditeur du logiciel :

– Un dysfonctionnement du logiciel :

Si le logiciel espion n’est pas fonctionnel, ou ne répond pas aux caractéristiques prévues par le contrat, alors comme pour tout logiciel, l’acquéreur pourra engager devant un tribunal civil la responsabilité contractuelle de l’éditeur.

On pourrait s’interroger sur la possibilité pour l’acquéreur d’agir en responsabilité dans l’hypothèse d’un logiciel espion dont la légalité parait douteuse . Néanmoins, les logiciels espions ne sont pas interdits par principe, leur utilisation est juste soumise à certaines conditions.

– L’introduction d’un logiciel espion au sein d’un logiciel :

Il s’agit ici de l’hypothèse où un utilisateur utilise un logiciel, dans lequel l’éditeur, a à son insu, intégré un logiciel espion.

Les deux parties étant liées par un contrat, on peut envisager une action en responsabilité contractuelle. Le contrat qui lie l’acquéreur et l’éditeur ne comporte sûrement pas de clause précisant que le logiciel ne comporte pas de logiciel espion.

L’article 1134 du code civil dispose que les conventions ” doivent être exécutées de bonne foi “. L’introduction d’un logiciel espion semble peu compatible avec la bonne foi contractuelle.

Il est envisageable d’agir en responsabilité contractuelle contre l’éditeur qui introduit un logiciel espion au sein d’un logiciel commercial à l’insu de l’utilisateur.

B)  Les antivirus

L’éditeur d’antivirus fournit un logiciel dont le but est d’éradiquer les virus de l’ordinateur de l’utilisateur. Si ce logiciel n’éradique pas les virus, peut-on engager la responsabilité contractuelle de l’éditeur ?

Il faut déterminer si l’éditeur est tenu d’une obligation de moyens ou de résultat. La jurisprudence ne s’est pas prononcée sur ce point. Mais vu l’étendue du travail de l’éditeur et la multiplicité des virus nouveaux, la jurisprudence retiendra probablement l’obligation de moyens.

S’il s’agit d’une obligation de moyens, l’éditeur sera tenu de mettre en oeuvre tous les moyens nécessaires pour assurer la mission de son logiciel. Il est donc tenu de mettre à jour régulièrement son antivirus par exemple. On pourra prouver l’inexécution de cette obligation en montrant, par exemple que les autres antivirus auraient protégé le système.

Dans cette hypothèse, l’utilisateur pourrait engager la responsabilité de l’éditeur d’antivirus.

 

II – La responsabilité civile délictuelle.

A)  Les logiciels espions

Les logiciels espions sont parfois introduits à l’insu des utilisateurs sur leur système, parfois même certains virus sont aussi des logiciels espions.

Dans cette hypothèse, le créateur du logiciel espion et l’utilisateur ne sont pas liés par un contrat, par conséquent on ne peut pas engager la responsabilité contractuelle du créateur.

La responsabilité délictuelle nécessite une faute, un dommage et un lien entre les deux. La faute consiste ici en une intrusion dans un système informatique à l’insu de son utilisateur, le dommage consiste en la perte et /ou la communication de données personnelles et le lien de causalité doit être clairement établi entre cette faute et le dommage subi.

En cas d’introduction d’un logiciel espion dans un ordinateur, celui qui l’a introduit pourra voir sa responsabilité délictuelle engagée et demander des dommages et intérêts.

B)  Les logiciels antivirus

Des tiers au contrat victimes d’une défaillance de l’antivirus, peuvent-ils agir contre l’éditeur ?

Dans l’hypothèse où sur un réseau, par exemple, un utilisateur est victime d’un virus qui aurait du être arrêté par le serveur, l’utilisateur est éventuellement lié contractuellement à l’exploitant du serveur mais pas avec l’éditeur d’antivirus.

Cependant les conditions de la responsabilité délictuelle peuvent être remplies : la faute de l’éditeur de l’antivirus, le dommage et le lien entre les deux.

Il est possible pour un tiers d’engager la responsabilité délictuelle de l’éditeur du logiciel antivirus.

 

III – La responsabilité pénale

A) Les atteintes aux données personnelles

La loi ” informatique et libertés ” réglemente la collecte et l’utilisation des données nominatives.

Toute collecte doit s’accompagner d’une information de la personne dont les données sont connectées. Celle-ci doit être informée à la fois de la collecte mais aussi de l’utilisation qui sera faite de ces données.

Le non-respect de ces dispositions constitue un délit prévu par l’article 226-16 du code pénal qui dispose : ” Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de trois ans d’emprisonnement et de 45.000 € d’amende. ”

Les atteintes aux données personnelles sont constitutives d’un délit et engagent la responsabilité pénale de leur auteur.

B)  Les atteintes aux systèmes d’information

Le code pénal sanctionne différentes atteintes à la Sécurité des systèmes d’information :

– L’intrusion : l’article 323-1 dispose ” Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15.000 € d’amende “.

– Le sabotage et les altérations : l’article 323-1 alinéa 2 dispose ” Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30.000 € d’amende. ”
Il y a donc de multiples réponses juridique à une atteinte aux systèmes d’informations.

ARTICLES EN RELATION