Résultats de recherche pour: fuite de donnée

14 Mar 2025

La Proposition de Loi Narcotrafic : Une Menace pour les Libertés Numériques

La France est à un tournant décisif concernant la sécurité nationale et la préservation des droits fondamentaux, avec la récente proposition de loi « Narcotrafic » qui est débattue au Parlement.
NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Présentée comme un nouvel outil dans la lutte contre le trafic de drogues, cette législation a suscité un large débat en raison de ses conséquences potentielles sur la vie privée et les droits numériques des citoyens. Supportée par les sénateurs Étienne Blanc et Jérôme Durain, et déjà approuvée à l’unanimité par le Sénat, cette loi envisage des mesures de surveillance radicales, notamment l’affaiblissement du chiffrement de bout en bout et l’autorisation d’accéder aux appareils connectés.

Bien que ces mesures soient justifiées par des préoccupations de sécurité publique, elles risquent d’éroder les bases de la confidentialité numérique, ouvrant ainsi la porte à d’éventuels abus de pouvoir. Des organisations militantes pour les droits numériques, telles que La Quadrature du Net, critiquent cette initiative, la qualifiant de « loi boîte noire » qui, sous prétexte de lutter contre le crime organisé, permettrait une surveillance de masse imprécise et invasive.

Les implications vont bien au-delà de la simple question du narcotrafic : il s’agit d’un moment crucial dans le paysage juridique et technologique français, qui pourrait voir le pays adopter des pratiques de contrôle numérique parmi les plus restrictives au monde.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Entre l’impératif de sécurité et le danger de dérives, cette législation soulève la question de l’équilibre que l’État peut établir entre l’efficacité des forces de l’ordre et le respect des valeurs démocratiques.

I. Les atteintes techniques à la vie privée : un péril pour la sécurité collective

A. L’affaiblissement du chiffrement de bout en bout : une faille systémique

Le chiffrement de bout en bout constitue l’un des piliers de la confidentialité numérique. Protégé par le Règlement général sur la protection des données (RGPD) et reconnu par la Cour de justice de l’Union européenne (CJUE) comme essentiel à la vie privée, il garantit que seuls l’expéditeur et le destinataire d’un message en possèdent les clés de déchiffrement. Ce système est crucial, car il permet aux individus de communiquer en toute confiance, sans crainte que leurs échanges ne soient interceptés par des tiers, qu’il s’agisse de gouvernements, d’entreprises ou d’acteurs malveillants. La loi Narcotrafic exigerait des fournisseurs de messageries (Signal, WhatsApp, Olvid) l’implantation de « portes dérobées » (backdoors), permettant aux autorités d’accéder aux communications. Ce type de mesure pose de graves problèmes de sécurité. En effet, la création d’une backdoor compromet l’intégrité même du système de chiffrement.

L’idée que les autorités puissent accéder aux messages échangés repose sur la supposition que cette porte dérobée ne sera exploitée que par des agents autorisés.

Cependant, l’histoire a montré que chaque faille, une fois ouverte, peut être découverte et exploitée par des hackers ou des acteurs malveillants. Prenons l’exemple du piratage de l’entreprise Yahoo en 2013, où des millions de comptes d’utilisateurs ont été compromis en raison de failles de sécurité. Ce cas illustre parfaitement comment une vulnérabilité peut être exploitée à grande échelle.

De plus, les données sensibles ainsi exposées peuvent entraîner des conséquences désastreuses pour les individus concernés, telles que le vol d’identité, la fraude financière, ou même des menaces physiques. Par ailleurs, l’exemple britannique est éloquent : le Online Safety Act de 2023 a contraint Apple à affaiblir le chiffrement de iMessage, exposant ainsi ses utilisateurs à des piratages et des violations de la vie privée.

Si une entreprise comme Apple, dotée de ressources considérables pour la sécurité, a été forcée de céder, qu’en sera-t-il alors pour des applications moins connues comme Olvid, qui repose entièrement sur le respect de la confidentialité de ses utilisateurs ? En France, une telle mesure contraindrait probablement des acteurs comme Signal à se retirer du marché, privant les citoyens d’outils sécurisés.

Juridiquement, cette obligation heurte le principe de proportionnalité, inscrit à l’article 52 de la Charte des droits fondamentaux de l’UE.

La CJUE, dans l’arrêt La Quadrature du Net c. France (2020), a rappelé que la surveillance massive ne peut être justifiée que par des menaces graves et actuelles.

Or, le trafic de stupéfiants est déjà réprimé par des lois existantes et ne constitue pas une justification suffisante pour la mise en place de mesures aussi intrusives. Cette approche pourrait ouvrir la voie à des abus légaux, où n’importe quelle forme de délit pourrait être utilisée comme prétexte pour justifier des atteintes aux droits des citoyens.

Il est également nécessaire d’aborder les conséquences socio-économiques d’une telle mesure. L’affaiblissement du chiffrement pourrait avoir un impact dévastateur sur l’innovation technologique en France. Les développeurs et les entreprises pourraient être dissuadés d’investir dans des technologies de sécurité robustes, sachant que leur travail pourrait être contourné par des exigences législatives. Cela pourrait également diminuer la compétitivité de la France sur le marché mondial des technologies de sécurité, affectant ainsi l’économie à long terme.

B. L’espionnage des appareils connectés : une intrusion sans limites

La proposition autorise les forces de l’ordre à activer à distance micros et caméras d’appareils connectés, via l’exploitation de failles de sécurité. Cette pratique, comparable à l’utilisation du logiciel espion Pegasus, transforme chaque objet connecté en potentiel mouchard. L’usage de tels outils d’espionnage, bien que parfois justifié par des considérations de sécurité nationale, soulève d’importantes questions éthiques, morales et juridiques.

Le cadre juridique invoqué – la « criminalité organisée » – est d’une étendue problématique. Défini par l’article 132-71 du Code pénal, ce terme inclut des infractions variées (blanchiment, corruption, trafic), permettant une application large.

Par conséquent, la loi pourrait être utilisée non seulement pour traquer des criminels, mais aussi pour surveiller des dissidents politiques, des militants écologistes, ou même des journalistes enquêtant sur des affaires sensibles. En effet, l’histoire récente montre des abus : en 2019, des militants écologistes opposés à l’enfouissement des déchets nucléaires à Bure ont été placés sous surveillance illégale, selon un rapport de la Commission nationale de contrôle des techniques de renseignement (CNCTR).

La loi Narcotrafic risquerait de normaliser ces pratiques, en légalisant des méthodes jusqu’ici réservées au renseignement. D’un point de vue technique, l’absence de garanties contre les abus est criante. Contrairement à l’Allemagne, où la Cour constitutionnelle impose un « noyau dur de droits intangibles », la France ne prévoit ni contrôle judiciaire préalable systématique, ni obligation de destruction des données post-enquête. Cela signifie que les données collectées pourraient potentiellement être conservées indéfiniment et utilisées à des fins autres que celles pour lesquelles elles ont été initialement collectées. Cette absence de régulation adéquate pourrait ainsi transformer des dispositifs légaux en instruments de contrôle social, érodant progressivement les libertés individuelles au nom de la sécurité nationale. Il est crucial de s’interroger sur les implications psychologiques de cette surveillance omniprésente.

La simple connaissance que l’on pourrait être surveillé à tout moment peut créer un climat de méfiance au sein de la société. Les individus pourraient hésiter à exprimer librement leurs opinions ou à participer à des manifestations, par crainte de répercussions. Ce phénomène d’autocensure est particulièrement dangereux dans une démocratie, où le débat public et la contestation sont essentiels au fonctionnement d’une société libre. De plus, cette surveillance pourrait également avoir des conséquences sur la santé mentale des individus. La constante peur d’être observé peut engendrer un stress chronique, une anxiété et des troubles de la santé mentale. Cette dynamique peut créer un cercle vicieux où la surveillance vise à maintenir l’ordre, mais finit par miner le bien-être général de la population.

II. Les dérives démocratiques : entre opacité et érosion des droits de la défense

A. Le « dossier-coffre » : une entrave au procès équitable

La loi introduit un mécanisme de « procès-verbal distinct », isolant les preuves issues de la surveillance dans un « dossier-coffre » inaccessible aux avocats et aux personnes mises en cause. Cette pratique viole l’article 6 de la Convention européenne des droits de l’homme (CEDH), qui garantit le droit à un procès équitable, incluant la possibilité de contester les preuves. L’existence d’un dossier-coffre crée une asymétrie de pouvoir entre l’accusation et la défense, compromettant ainsi les fondamentaux d’une justice équitable.

La Cour EDH a condamné à plusieurs reprises des États pour usage de preuves secrètes. Dans l’arrêt Dowsett c. Royaume-Uni (2003), elle a jugé que l’impossibilité d’accéder à des éléments clés du dossier portait atteinte à l’équité du procès. En France, le Conseil constitutionnel, dans sa décision sur la loi Sécurité globale, a rappelé que « le secret des sources ne peut prévaloir sur les droits de la défense ». Pourtant, le « dossier-coffre » institutionnalise une asymétrie en faveur de l’accusation. Cela soulève des questions alarmantes sur la capacité des avocats à préparer une défense adéquate et met en péril le principe fondamental de la présomption d’innocence.

Il convient également de souligner que cette mesure pourrait dissuader les témoins potentiels de se manifester, de peur qu’ils soient eux-mêmes surveillés ou incriminés. Cela pourrait créer un climat de peur et de méfiance au sein de la société, où les citoyens pourraient hésiter à s’engager dans des discussions ou à dénoncer des abus de pouvoir, par crainte de représailles.

En somme, le « dossier-coffre » n’est pas seulement une atteinte aux droits des individus, mais aussi un danger pour la santé démocratique du pays, où la transparence et la responsabilité sont essentielles. Les conséquences d’un tel mécanisme sont d’autant plus graves qu’elles pourraient conduire à des condamnations injustifiées, fondées sur des preuves non contestables. Dans un État de droit, chaque accusé doit avoir la possibilité de défendre son innocence, et l’accès aux preuves est une condition sine qua non de cette défense. En prenant la forme d’un dossier cloisonné, cela crée un précédent dangereux où la justice pourrait être rendue sur des bases obscures, sapant ainsi la confiance du public dans le système judiciaire.

B. L’extension des « boîtes noires » : une surveillance algorithmique incontrôlée

Les « boîtes noires », instaurées en 2015 pour le renseignement anti-terroriste, sont étendues par la loi Narcotrafic à la lutte contre le crime organisé. Ces algorithmes analysent massivement les métadonnées (destinataires, heures d’appels) sans contrôle transparent. Leur opacité contrevient au principe de licéité des traitements, exigé par l’article 5 du RGPD, qui dispose que les personnes concernées doivent être informées des usages de leurs données. Or, ces dispositifs de surveillance ne permettent pas aux citoyens de comprendre comment leurs données sont collectées et utilisées, ce qui constitue une violation de leur droit à la vie privée.

L’exemple espagnol est instructif : en 2021, la Cour constitutionnelle a invalidé une loi similaire, estimant que la collecte indiscriminée de métadonnées créait un « profilage généralisé » contraire à la liberté d’expression. En France, le Défenseur des droits a alerté en 2022 sur les risques de discrimination algorithmique, citant une étude du CNRS montrant que ces outils surestiment la dangerosité des individus issus de quartiers défavorisés.

Il est essentiel de souligner que, dans l’absence de régulation adéquate, ces outils de collecte de données peuvent renforcer les inégalités sociales et exacerber les tensions communautaires. D’un point de vue technique, la nature même des algorithmes utilisés pose problème. Souvent, ces systèmes sont construits sur des modèles de données qui peuvent inclure des biais historiques, ce qui signifie qu’ils peuvent reproduire, voire aggraver, les inégalités existantes. Par exemple, des études ont montré que certains algorithmes de reconnaissance faciale sont moins efficaces pour identifier les personnes de couleur, ce qui peut conduire à des erreurs judiciaires ou à des discriminations systématiques. L’absence de contrôle indépendant sur l’utilisation de ces boîtes noires est également préoccupante.

Dans un contexte où la surveillance numérique s’intensifie, il est crucial de mettre en place des mécanismes de vérification et de responsabilité, afin d’éviter tout abus. En effet, la transparence est essentielle pour garantir la confiance du public dans les institutions. Sans mécanismes de contrôle adéquats, la possibilité de dérives et d’abus de pouvoir s’accroît, menaçant ainsi les fondements mêmes de nos démocraties. Il est impératif que le public soit informé des données qui sont collectées à son sujet et de la manière dont elles sont utilisées, afin de préserver les droits fondamentaux de chaque individu. Une société où les citoyens ignorent comment leurs données sont utilisées est une société qui risque de glisser vers un état de surveillance permanent, où les droits à la vie privée et à la liberté d’expression sont systématiquement compromis.

III. Critique de la proposition de la loi

Si la lutte contre le narcotrafic est légitime, la loi Narcotrafic apparaît comme un cheval de Troie liberticide. Ses dispositions dépassent largement leur objet initial, instaurant une surveillance généralisée peu compatible avec l’État de droit. Le recours aux backdoors et à l’espionnage des appareils crée des risques systémiques : piratage accru, fuites de données, défiance envers les technologies françaises. Juridiquement, le texte semble inconciliable avec le RGPD et la CEDH, exposant la France à des condamnations européennes. Politiquement, il normalise des pratiques jusqu’ici exceptionnelles, dans un contexte où les outils de surveillance sont régulièrement détournés contre des mouvements sociaux (Gilets jaunes, militants écologistes). Ce phénomène de normalisation des pratiques de surveillance représente une menace sérieuse pour les valeurs fondamentales de la République, qui repose sur des principes tels que la liberté, l’égalité et la fraternité.

Enfin, l’absence de débat démocratique éclaire – le vote unanime au Sénat, y compris par des groupes se réclamant des libertés, interroge. Une loi d’une telle portée mériterait des consultations approfondies avec des experts en cybersécurité et des défenseurs des droits, afin d’éviter qu’un légitime combat contre le crime ne se transforme en machine à broyer les libertés. Il est crucial que les citoyens soient engagés dans cette discussion, car l’absence de vigilance collective peut conduire à l’acceptation passive de mesures qui sapent les fondements mêmes de notre société.

En définitive, cette loi incarne un paradoxe : prétendant protéger les citoyens du crime organisé, elle les expose à des dangers bien plus grands – l’arbitraire étatique et l’insécurité numérique. Loin d’être un outil de sécurité, elle pourrait devenir un moyen de contrôle social, où chaque individu serait sous la menace d’une surveillance omniprésente, et où l’exercice des libertés fondamentales serait entravé par la peur de représailles. Les implications de cette loi vont au-delà des simples considérations techniques ou juridiques. Elles touchent à la notion même de démocratie.

La démocratie repose sur le principe de la transparence et de la responsabilité. Dans un système démocratique sain, les citoyens doivent pouvoir contrôler leurs institutions et être informés des actions de l’État. Or, la loi Narcotrafic, en introduisant des mécanismes de surveillance obscure et en limitant l’accès à des preuves cruciales, crée un environnement où les citoyens sont laissés dans l’ignorance et où les abus de pouvoir peuvent prospérer sans être contestés. De plus, cette loi pourrait déclencher une spirale de dérives où d’autres mesures de surveillance seraient justifiées par des arguments similaires de sécurité publique. Ce phénomène pourrait mener à une banalisation des atteintes aux droits fondamentaux, où les libertés individuelles sont progressivement sacrifiées sur l’autel de la sécurité. Les conséquences de cette dynamique seraient désastreuses pour l’ensemble de la société, entraînant une érosion des valeurs démocratiques et des droits civiques. Il est également essentiel de considérer la réaction du public face à une telle législation.

L’histoire a montré que l’acceptation passive des mesures de surveillance peut entraîner une normalisation de l’intrusion dans la vie privée. À long terme, cela pourrait mener à une société où les citoyens ne se battent plus pour leurs droits, ayant internalisé l’idée que la surveillance est une norme. Ce changement de mentalité est inquiétant, car il pourrait réduire la capacité des individus à revendiquer leurs droits et à s’opposer aux abus de pouvoir. La réaction de la société civile et des organisations de défense des droits humains sera donc cruciale dans les mois à venir. Il est impératif que les citoyens prennent conscience des implications de cette loi et s’engagent activement dans le débat public. La mobilisation des citoyens, via des campagnes de sensibilisation, des pétitions, ou des manifestations, est essentielle pour faire entendre leur voix et pour exiger des comptes de la part de leurs représentants élus. Seule une pression collective peut contraindre le législateur à reconsidérer cette proposition de loi et à garantir le respect des droits fondamentaux.

Enfin, il est fondamental que les élus, au-delà des considérations partisanes, prennent en compte l’avis des experts en droits numériques, en cybersécurité, et en éthique. Un dialogue ouvert et constructif entre les différentes parties prenantes permettra de trouver un équilibre entre les besoins de sécurité et le respect des libertés individuelles. Des solutions alternatives, qui garantissent la sécurité sans compromettre les droits fondamentaux, doivent être explorées et mises en avant.

Pour lire une version plus complète de cet article sur le projet de loi sur le narcotrafic, cliquez

Sources :

Par Murielle Cahen • internet-et-droit • • Tags: algorithmes, collecte de données, données, liberté d'expression, violation de la vie privée

4 Oct 2024

Les limites du droit à l’oubli et du référencement

Le droit à l’oubli, concept novateur au confluent de la protection des données personnelles et du respect de la vie privée, a été institutionnalisé par le Règlement général sur la protection des données (RGPD) de l’Union européenne, entré en vigueur en mai 2018.

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

Ce droit confère aux individus la possibilité de demander la suppression de leurs données personnelles, lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou lorsqu’ils retirent leur consentement à leur traitement.

Toutefois, ce droit, bien que fondamental dans une société de plus en plus numérisée, ne peut s’exercer sans limites. En effet, la mise en œuvre du droit à l’oubli doit être soigneusement équilibrée avec d’autres droits et libertés, notamment le droit à l’information, la liberté d’expression, et le droit du public à accéder à des informations d’intérêt général.

D’un point de vue jurisprudentiel, la Cour de justice de l’Union européenne (CJUE) a été amenée à se prononcer sur plusieurs affaires qui illustrent les tensions inhérentes à ce droit. L’affaire emblématique *Google Spain SL, Google Inc. v. Agencia Española de Protección de Datos, Mario Costeja González* (C-131/12) a marqué une étape cruciale dans la reconnaissance du droit à l’oubli.

Dans cette décision, la CJUE a établi que les moteurs de recherche sont considérés comme des « responsables de traitement » et qu’ils sont donc tenus de supprimer les liens vers des informations personnelles lorsque leur diffusion n’est plus justifiée. Cela a ouvert la voie à de nombreuses demandes de déréférencement, mais a également soulevé des questions quant à la portée et aux limites de ce droit.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Cependant, la mise en œuvre de cette jurisprudence a révélé des défis significatifs. Par exemple, dans l’affaire *NT1 v. Google LLC* (2018), la Haute Cour de Londres a dû naviguer entre le droit à l’oubli d’un individu condamné pour des infractions pénales et le droit du public à être informé des activités d’une personne ayant eu un rôle public. La Cour a finalement statué en faveur de l’individu, mais cette affaire a mis en lumière les dilemmes éthiques et juridiques que soulève le droit à l’oubli, notamment en ce qui concerne la balance entre la réhabilitation personnelle et l’intérêt public.

De plus, les limites du droit à l’oubli s’étendent également à la question du traitement des informations d’intérêt public, comme celles relatives à des personnalités publiques ou à des événements ayant un impact sociétal significatif.

Dans l’affaire *GC et autres v. M. et autres* (C-136/17), la CJUE a précisé que le droit à l’oubli ne doit pas conduire à une censure des informations qui revêtent un intérêt général, soulignant ainsi que l’effacement d’informations ne doit pas se faire au détriment de la transparence et du débat démocratique. D’un autre côté, des critiques ont été émises concernant le potentiel de ce droit à créer des inégalités d’accès à la justice.

Les personnes disposant de ressources financières et juridiques suffisantes peuvent plus efficacement faire valoir leur droit à l’oubli, tandis que d’autres, souvent issues de milieux défavorisés, peuvent se voir privées de cette opportunité. Cela souligne un paradoxe : bien que le droit à l’oubli soit conçu pour protéger les individus, il peut également renforcer des inégalités existantes, ce qui questionne la légitimité de son application. Ainsi, il est impératif d’analyser non seulement la portée du droit à l’oubli, mais également ses implications sur les mécanismes de régulation de l’information à l’ère numérique.

En effet, la prolifération des données personnelles sur Internet, couplée à la facilité avec laquelle ces informations peuvent être accessibles et diffusées, complique la tâche des autorités de régulation et des acteurs privés confrontés à des demandes de déréférencement. Ces acteurs doivent naviguer dans un paysage juridique en constante évolution, tout en prenant en compte des considérations éthiques et sociologiques.

Un autre exemple jurisprudentiel significatif est l’affaire *GC et autres v. M. et autres* (C-136/17), où la CJUE a réaffirmé que les droits des individus à la vie privée et à l’oubli ne doivent pas occulter le droit du public à l’information. Dans cette affaire, les plaignants, victimes d’un incident criminel, avaient demandé le déréférencement d’articles de presse relatant leur histoire. La Cour a statué que, bien que le droit à la vie privée soit fondamental, il est essentiel de prendre en compte le contexte de l’information et l’intérêt général qu’elle représente.

Ce jugement illustre les limites du droit à l’oubli, en mettant en avant la nécessité d’une approche nuancée qui prenne en compte à la fois les droits individuels et les intérêts collectifs.

L’interaction entre le droit à l’oubli et le référencement des informations soulève également des questions pratiques quant à la mise en œuvre de ce droit par les moteurs de recherche et les plateformes numériques. Les critères de déréférencement demeurent flous et souvent sujets à interprétation, ce qui peut engendrer des incohérences dans les décisions prises par les acteurs en ligne.

Par exemple, Google a mis en place un processus de demande de déréférencement qui, bien qu’efficace pour certaines demandes, peut également laisser des utilisateurs dans l’incertitude quant à leurs droits. La question de la transparence dans le traitement de ces demandes est donc cruciale pour garantir la confiance des utilisateurs dans les mécanismes de protection des données.

Par ailleurs, les questions de compétence territoriale et de juridiction se posent également dans le cadre du droit à l’oubli. La portée extraterritoriale de certaines décisions de la CJUE, notamment dans l’affaire *Google Spain*, a suscité des débats sur la capacité des États membres à imposer des normes de confidentialité et de protection des données en dehors de leurs frontières.

Les disparités entre les législations nationales et les pratiques des entreprises technologiques multinationales compliquent la mise en œuvre uniforme du droit à l’oubli à l’échelle mondiale. Ce phénomène met en exergue la nécessité d’une coopération internationale plus étroite pour traiter les enjeux liés à la protection des données et au droit à l’oubli.

Ainsi, tout en reconnaissant l’importance du droit à l’oubli dans la protection des données personnelles et la préservation de la vie privée, il apparaît fondamental de délimiter clairement ses contours. Les défis juridiques, éthiques et pratiques qu’il soulève exigent une réflexion approfondie et une approche équilibrée qui tienne compte des droits individuels tout en préservant l’intérêt général et le besoin de transparence dans la société de l’information.

En somme, le débat sur les limites du droit à l’oubli et du référencement est emblématique des tensions qui existent entre la nécessité de protéger les individus des atteintes à leur vie privée et celle d’assurer un accès libre et ouvert à l’information.

La recherche d’un équilibre entre ces deux impératifs constitue un enjeu majeur pour les législateurs, les juges et les acteurs du numérique, et nécessite une vigilance constante pour s’adapter aux évolutions technologiques et sociétales. À ce titre, il est crucial de mettre en place des mécanismes de régulation qui soient à la fois justes et efficaces, afin de garantir une protection adéquate des données personnelles sans compromettre l’essence même de la démocratie et de la liberté d’expression.

Les démarches pour faire valoir ce droit sont encadrées par des procédures précises, souvent complexes, nécessitant une évaluation minutieuse des circonstances de chaque cas. Par exemple, une personne souhaitant faire valoir son droit à l’oubli doit généralement soumettre une demande auprès du moteur de recherche concerné, en justifiant la pertinence de sa requête.

I. Le droit à l’oubli : Cadre et mise en œuvre

A. Démarches pour faire valoir son droit à l’oubli

Description des procédures à suivre pour soumettre une demande

La première étape pour faire valoir son droit à l’oubli consiste à rassembler les informations nécessaires et à comprendre le processus de demande. Voici un développement détaillé des étapes à suivre :

Identification du moteur de recherche

La procédure commence par l’identification du moteur de recherche auprès duquel la demande sera faite. Google est le moteur de recherche le plus utilisé, mais il existe d’autres moteurs, tels que Bing ou Yahoo, qui doivent également être pris en compte. Chaque moteur de recherche peut avoir ses propres procédures, mais les principes de base restent similaires.

Remplissage du formulaire de demande

La plupart des moteurs de recherche disposent d’un formulaire dédié au droit à l’oubli, accessible sur leur site web. Ce formulaire est généralement conçu pour faciliter la soumission des demandes. Les informations requises dans ce formulaire incluent :

– Identité du demandeur : Le demandeur doit fournir ses informations personnelles, notamment son nom complet, son prénom, son adresse électronique et, dans certains cas, son adresse postale. Ces informations permettent au moteur de recherche de vérifier l’identité du demandeur et de le contacter si nécessaire.

– URL(s) concernée(s) : Il est essentiel de fournir les liens exacts vers les contenus que le demandeur souhaite faire supprimer. Ces URL doivent renvoyer à des pages spécifiques contenant les informations litigieuses. La précision est cruciale, car toute erreur pourrait retarder le traitement de la demande.

– Motifs de la demande : Le demandeur doit justifier sa demande en expliquant pourquoi il estime que les informations doivent être supprimées. Cela peut inclure des arguments tels que l’inexactitude des informations, le caractère obsolète des données, ou le fait que ces informations ne sont plus pertinentes pour l’intérêt public. Pour renforcer la demande, le demandeur peut également inclure des preuves ou des documents soutenant ses affirmations.

Soumission de la demande

Une fois le formulaire complété, il doit être soumis selon les instructions fournies par le moteur de recherche. Cela peut se faire en ligne via une plateforme dédiée, par courrier électronique ou même par voie postale, selon les modalités spécifiées. Il est recommandé de conserver une copie de la demande ainsi que de tous les documents joints pour ses propres archives.

Attente de la réponse

Après la soumission, le moteur de recherche examinera la demande. Ce processus peut prendre plusieurs semaines, voire des mois, en fonction de la complexité de la demande et du volume des demandes reçues. Pendant cette période, le moteur de recherche peut demander des informations supplémentaires ou des clarifications au demandeur.

Notification de la décision

Le moteur de recherche informera le demandeur de sa décision, qui peut être favorable ou défavorable. Si la demande est acceptée, les URL concernées seront supprimées des résultats de recherche. En revanche, si la demande est rejetée, le demandeur recevra une explication des raisons de ce refus.

Possibilité de recours

En cas de refus de la demande, le demandeur a la possibilité de contester cette décision. Cela peut impliquer de soumettre une nouvelle demande avec des justifications supplémentaires ou, dans certains cas, de porter l’affaire devant une autorité de protection des données ou un tribunal compétent. Il est important de bien comprendre les recours disponibles, car chaque pays peut avoir ses propres règles et procédures en matière de protection des données.

Rôle des moteurs de recherche et des plateformes concernées

Les moteurs de recherche jouent un rôle central dans la mise en œuvre du droit à l’oubli, en tant qu’intermédiaires entre les internautes et l’information disponible en ligne. Conformément à la législation européenne, notamment les règlements sur la protection des données comme le RGPD (Règlement Général sur la Protection des Données), ces moteurs de recherche ont l’obligation légale d’examiner les demandes de suppression d’informations personnelles.

Ce processus d’évaluation repose sur l’application de critères établis par la Cour de justice de l’Union européenne (CJUE) dans ses décisions, notamment dans l’affaire Google Spain. Les moteurs de recherche doivent mener une analyse équilibrée qui prend en compte à la fois le droit à la vie privée du demandeur et l’intérêt public en matière d’information.

Pertinence des informations

Le premier critère que les moteurs de recherche doivent considérer est la pertinence des informations en question. Pour qu’une demande soit acceptée, les informations concernées doivent avoir un caractère personnel. Cela signifie qu’elles doivent avoir un lien direct avec la vie privée du demandeur, comme des données sur sa santé, ses opinions politiques ou ses activités personnelles.

De plus, il est essentiel que ces informations ne soient pas nécessaires à l’intérêt public. Par exemple, des informations sur un acte criminel dont le demandeur a été acquitté peuvent être jugées comme n’étant plus d’intérêt public, tandis que des informations sur des affaires publiques ou des personnalités politiques peuvent ne pas être supprimées en raison de leur importance pour le débat public.

Actualité des informations

Un autre critère crucial est l’actualité des informations. Les moteurs de recherche doivent évaluer si le contenu en question est obsolète ou si, au contraire, il reste pertinent dans le contexte actuel.

Par exemple, des informations sur une condamnation pénale passée peuvent devenir moins pertinentes au fil du temps, surtout si le demandeur a démontré un changement de comportement ou a été réhabilité. Cette évaluation nécessite une analyse approfondie des circonstances et du contexte, car les attentes de la société concernant la réhabilitation et le pardon évoluent également.

Caractère préjudiciable des informations

Les moteurs de recherche doivent également examiner le caractère préjudiciable des informations en question. Cela implique de déterminer si les données concernées causent un préjudice significatif à la réputation ou à la dignité du demandeur.

Si les informations sont jugées nuisibles, mais qu’elles revêtent une importance suffisante pour l’intérêt public — par exemple, si elles concernent une personne occupant une fonction publique — leur suppression pourrait être refusée. Les moteurs de recherche doivent donc peser le préjudice potentiel pour le demandeur contre l’importance de l’information pour le public.

Processus de décision

Le processus de décision des moteurs de recherche est rigoureux et implique souvent des équipes dédiées à l’évaluation des demandes de suppression. Ces équipes doivent être formées pour appliquer les critères de la CJUE de manière cohérente et équitable.

Après avoir examiné les demandes, les moteurs de recherche rendent une décision qu’ils communiquent au demandeur. Dans certains cas, les moteurs de recherche peuvent également consulter des experts ou des avocats pour évaluer les demandes complexes.

Transparence et responsabilité

Les moteurs de recherche sont également tenus d’assurer une certaine transparence dans leur processus de décision. Ils doivent informer les demandeurs des raisons de la décision prise, qu’elle soit positive ou négative.

Cette transparence est essentielle pour que les demandeurs puissent comprendre les motifs de refus et, le cas échéant, préparer des recours. De plus, les moteurs de recherche doivent maintenir des statistiques sur les demandes reçues et les décisions prises, permettant ainsi une évaluation de l’impact du droit à l’oubli sur la vie privée des individus.

Recours en cas de refus

En cas de refus d’une demande de suppression, le demandeur dispose de plusieurs options. Il peut contester la décision directement auprès de l’autorité de protection des données compétente dans son pays. Ce recours peut impliquer une réévaluation de la demande par l’autorité, qui examinera si les critères de la CJUE ont été correctement appliqués. De plus, le demandeur peut également envisager des voies judiciaires, ce qui pourrait conduire à des décisions créant des précédents juridiques importants.

B. Application géographique du droit à l’oubli

Cadre juridique en Europe

En Europe, le droit à l’oubli est principalement encadré par le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018. L’article 17 du RGPD stipule que les individus ont le droit d’obtenir l’effacement de leurs données personnelles dans certaines circonstances, notamment lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées. Ce cadre légal a permis d’étendre et de formaliser le droit à l’oubli en tant qu’élément central de la protection des données personnelles en Europe.

Comparaison avec d’autres juridictions

À l’international, la notion de droit à l’oubli n’est pas systématiquement reconnue. Par exemple, aux États-Unis, le droit à l’oubli est limité et se heurte à la liberté d’expression, protégée par le premier amendement de la Constitution.

Les tribunaux américains, notamment dans l’affaire *Doe v. MySpace, Inc.* (2008), ont rejeté les demandes d’effacement de contenus en raison de la protection de la liberté d’expression. Cette divergence souligne les défis liés à l’harmonisation des législations en matière de protection des données à l’échelle mondiale, et illustre l’importance d’un cadre juridique robuste pour garantir les droits des individus.

II. Les enjeux et limites du droit à l’oubli

A. Critiques et inconvénients du droit à l’oubli

1. Impact sur la liberté d’expression et le droit à l’information

Le droit à l’oubli est souvent perçu comme une tentative de restreindre l’accès à des informations qui peuvent être d’intérêt public. Cette dynamique pose une question essentielle : comment trouver un équilibre entre le droit à la vie privée et la liberté d’expression ?

Les critiques soutiennent que la suppression d’informations peut mener à une forme de censure, où des contenus, même pertinents et véridiques, sont retirés des moteurs de recherche, privant ainsi le public de connaissances importantes.

Dans l’affaire *Google Spain*, la Cour de justice de l’Union européenne (CJUE) a reconnu que le droit à l’oubli ne devait pas interférer avec le droit à l’information. La CJUE a souligné que les moteurs de recherche doivent évaluer chaque demande de manière équilibrée, tenant compte des intérêts du demandeur ainsi que de l’intérêt public. Toutefois, la mise en pratique de cette directive s’avère complexe.

En effet, des cas concrets montrent que des informations d’intérêt public peuvent être supprimées, soulevant des questions éthiques sur la transparence et l’accès à l’information. Par exemple, des articles d’actualité relatifs à des personnalités publiques ou des affaires judiciaires peuvent être retirés, ce qui va à l’encontre du principe de transparence qui sous-tend les démocraties. Ce phénomène de censure potentielle est particulièrement préoccupant dans le contexte des élections, des affaires publiques ou des questions sociales.

La suppression d’informations peut nuire à la capacité des citoyens à prendre des décisions éclairées, réduisant ainsi la qualité du débat public. Les journalistes et les chercheurs peuvent également se retrouver limités dans leur capacité à enquêter et à rapporter des faits, ce qui peut affecter leur travail et la liberté de la presse. Ainsi, alors que le droit à l’oubli vise à protéger les individus, il doit être manié avec prudence pour ne pas porter atteinte aux droits fondamentaux des autres.

Problèmes pratiques liés à l’application du droit à l’oubli

L’application du droit à l’oubli présente également des défis pratiques considérables pour les moteurs de recherche et les plateformes numériques. La charge administrative qui en résulte est significative, car les moteurs de recherche doivent traiter un nombre croissant de demandes de suppression. En effet, depuis l’instauration du droit à l’oubli, le volume des demandes a explosé, ce qui met une pression supplémentaire sur les ressources des moteurs de recherche.

Les moteurs de recherche doivent non seulement évaluer chaque demande de manière conforme aux critères juridiques, mais ils doivent également s’assurer que ce processus est transparent et équitable. Cela implique la création de procédures internes rigoureuses, de formations pour le personnel, ainsi que l’établissement de lignes directrices claires. Cependant, comme l’a révélé l’affaire *GC et autres v. M. et autres* (C-136/17), il est souvent difficile pour les moteurs de recherche d’établir un cadre de décision uniforme et équitable.

Les difficultés à standardiser les processus d’évaluation, couplées aux variations dans les législations nationales, rendent la tâche encore plus complexe. De plus, la charge de la preuve repose souvent sur le demandeur. Ce dernier doit démontrer que les informations en question sont nuisibles, inexactes ou obsolètes, ce qui peut s’avérer particulièrement difficile pour les individus n’ayant pas les ressources nécessaires pour engager des procédures juridiques complexes.

Les personnes qui souhaitent faire valoir leur droit à l’oubli se retrouvent souvent confrontées à des obstacles financiers, juridiques et administratifs. Cela peut créer des inégalités dans l’accès à la justice, renforçant les disparités déjà existantes.

Par ailleurs, les moteurs de recherche peuvent faire face à des difficultés dans le traitement des demandes. Par exemple, dans certains cas, il peut être difficile de déterminer si une information est effectivement nuisible ou si elle a un intérêt public suffisant pour justifier son maintien en ligne. Les décisions prises peuvent également varier d’un moteur de recherche à l’autre, ce qui soulève des préoccupations quant à la cohérence et à l’uniformité des décisions.

B. Les conséquences de l’oubli sur la société et l’individu

Risques de perte de mémoire collective et de révisionnisme

L’un des enjeux cruciaux liés à l’application du droit à l’oubli est la menace qu’il représente pour la mémoire collective d’une société. En supprimant certaines informations jugées nuisibles ou obsolètes pour des individus, il existe un risque réel que des événements significatifs soient effacés de l’histoire accessible au public. Cette situation soulève des préoccupations quant à la capacité d’une société à se souvenir de son passé et à apprendre de ses erreurs.

Le philosophe George Orwell, dans son roman dystopique 1984, met en lumière les dangers d’un contrôle de l’information qui mène à la manipulation de la mémoire collective. Dans cet univers où le passé est constamment réécrit pour servir les intérêts du pouvoir, la vérité devient relative, et la société perd sa capacité à se souvenir de ses erreurs historiques.

Ce mécanisme de révisionnisme est particulièrement préoccupant dans le cadre du droit à l’oubli, où des faits historiques ou des événements marquants peuvent être occultés pour protéger la réputation de certains individus. L’affaire NT1 v. Google LLC (2018) illustre ce dilemme.

Dans cette affaire, une personne a demandé la suppression de résultats de recherche la concernant, liés à une condamnation pénale. Bien que le jugement ait été en faveur du droit à l’oubli, il convient de s’interroger sur les implications de cette décision. En effaçant des informations qui pourraient être considérées comme nuisibles, on court le risque d’altérer l’accès à des informations d’importance historique ou sociale, et ce, même si ces informations sont factuelles.

Ainsi, la question se pose de savoir si le droit à l’oubli pourrait contribuer à un révisionnisme, où des faits historiques seraient délibérément omis ou minimisés pour protéger des intérêts individuels.

Cette dynamique pourrait mener à une forme de réécriture de l’histoire, où la mémoire collective serait altérée, privant les générations futures de la possibilité d’apprendre des leçons du passé. En ce sens, le droit à l’oubli pourrait nuire non seulement à l’individu dont les informations sont supprimées, mais également à la société dans son ensemble, qui peut perdre des repères historiques essentiels.

Effets sur les individus concernés

Les effets du droit à l’oubli ne se limitent pas à la sphère publique ; ils touchent également les individus concernés de manière directe et personnelle. Bien que certaines personnes puissent envisager le droit à l’oubli comme une opportunité de réhabilitation et de renaissance, il peut également engendrer des effets pervers et des conséquences inattendues.

Dans l’affaire *GC et autres v. M. et autres* (C-136/17), la Cour de justice de l’Union européenne (CJUE) a reconnu que le droit à l’oubli ne suffisait pas à effacer les conséquences sociales et professionnelles des informations qui avaient été auparavant accessibles. En effet, même après la suppression d’informations, la stigmatisation et les préjugés peuvent persister dans l’esprit du public.

Une personne dont les informations sensibles ont été effacées peut continuer à faire face à des discriminations, des jugements hâtifs ou des préjugés basés sur des événements passés, ce qui peut entraver sa réinsertion sociale et professionnelle. De plus, des études ont montré que le droit à l’oubli peut créer des inégalités dans l’accès à la justice.

Les personnes issues de milieux défavorisés peuvent ne pas avoir les ressources nécessaires pour engager des procédures juridiques complexes et coûteuses pour faire valoir leur droit. À l’inverse, les individus plus privilégiés, qui peuvent se permettre de consulter des avocats spécialisés ou de naviguer dans le système judiciaire, peuvent bénéficier d’une plus grande visibilité et d’un accès plus facile à ce droit. Cette disparité soulève des questions éthiques et juridiques sur l’égalité d’accès au droit à l’oubli et sur la manière dont les lois peuvent être appliquées de manière discriminatoire.

Il est également essentiel de considérer les implications psychologiques de l’oubli. Pour certains, la possibilité d’effacer des événements du passé peut sembler être une solution à des souffrances psychologiques. Cependant, il existe un risque que cette démarche soit perçue comme une forme de fuite plutôt qu’une véritable guérison. Les individus pourraient éprouver un sentiment de déconnexion avec leur propre histoire, ce qui pourrait nuire à leur processus d’identité personnelle.

La mémoire, même des événements douloureux, joue un rôle crucial dans la construction de l’identité. Le fait de vouloir effacer ces souvenirs peut créer un vide, un manque de continuité dans la vie d’un individu.

De plus, l’oubli n’est pas un processus simple. Les informations supprimées peuvent avoir des conséquences systémiques sur la façon dont les individus sont perçus par leur entourage. Par exemple, une personne ayant été condamnée pour un crime peut voir son passé effacé des résultats de recherche, mais la méfiance et le jugement de ses pairs peuvent persister.

Les réseaux sociaux et les interactions personnelles peuvent renforcer cette stigmatisation, car les opinions et les préjugés sont souvent difficiles à changer, même en l’absence de preuves tangibles. Un autre aspect à considérer est la question de la responsabilité sociale. En permettant aux individus de demander l’effacement de certaines informations, on pourrait créer un environnement où les gens ne se sentent pas responsables de leurs actions passées

. Cela pourrait encourager un comportement irresponsable, où les individus estiment qu’ils peuvent agir de manière préjudiciable sans devoir en subir les conséquences à long terme. Cette dynamique pourrait in fine nuire à la cohésion sociale, car elle affaiblirait les mécanismes de responsabilité et de transparence qui sont essentiels au bon fonctionnement d’une société. Enfin, il est important de reconnaître que le droit à l’oubli peut également avoir des implications sur les relations interpersonnelles.

Pour lire un article plus complet sur le droit à l’oubli et le déréférencement, cliquez

Sources :

1 Cour de cassation, criminelle, Chambre criminelle, 17 février 2009, 09-80.558, Publié au bulletin – Légifrance (legifrance.gouv.fr)
2 LE DROIT À L’OUBLI (murielle-cahen.com)
3 Droit à l’oubli : le Conseil d’État donne le mode d’emploi – Conseil d’État (conseil-etat.fr)
4 CURIA – Documents (europa.eu)

Par Murielle Cahen • Newsletter •

11 Mar 2024

COMMENT SE DÉFENDRE CONTRE L’ESPIONNAGE INDUSTRIEL ?

Le secret industriel et commercial est une branche du secret des affaires.

Afin d’être performantes et compétitives les entreprises acquièrent un savoir-faire et dans le même temps des connaissances particulières.

Fruit de leur expérience, de leur investissement et de leurs recherches, ces connaissances font souvent l’objet de convoitises, c’est ainsi que s’est développé l’espionnage industriel.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Sur le plan économique, l’espionnage peut se définir comme étant soit l’acquisition et/ou l’interception illicite de secrets d’affaires ou de savoir-faire d’une entreprise rivale. Soit, même si cela est moins couramment répandu, la déstabilisation d’un concurrent par la divulgation publique de son avantage commercial et/ou industriel.

Ces risques se sont démultipliés avec l’arrivée du numérique. Bien qu’offrant de multiples avantages, les entreprises sont plus facilement exposées et plus vulnérables lorsqu’elles manquent de moyens.

Il apparaît alors nécessaire de mettre en place des mesures de protection afin que le savoir-faire, les connaissances spécifiques de l’entreprise restent tenus secrets et que la concurrence entre les entreprises joue librement.

En France, se défendre contre l’espionnage industriel n’est pas chose facile. En effet, plusieurs rapports indiquent que la défense contre l’espionnage industriel est mal faite ou sinon mal assurée. Cette lacune dans le cadre de la défense contre l’espionnage industriel est encore plus grave lorsque l’on compare la France à son voisin d’outre-Atlantique.

Il est facilement possible de remarquer que se défendre contre l’espionnage industriel est plus efficace et plus simple aux États-Unis. Cette nette différence est difficile à expliquer tant l’espionnage industriel est présent en France autant qu’aux États-Unis. Il ne faut oublier que la France est aussi dotée d’entreprises performantes, au même titre que les États-Unis. Conscients de ces lacunes, la doctrine, la jurisprudence ainsi que le législateur ont œuvré pour une meilleure défense contre l’espionnage industriel.

Il est possible de citer à titre d’exemple l’enquête menée par Investiga France, agence d’enquête créée en 1991 et agréée par l’Etat. Une jeune stagiaire chinoise avait été incarcérée en 2005 pour espionnage industriel chez l’équipementier français Valéo pour » abus de confiance « , et » intrusion dans un système automatisé de données » après avoir téléchargé et transmis à un concurrent un volume important de données confidentielles durant son stage.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Également, en 2007, un ingénieur travaillant au sein de l’entreprise Michelin était condamné pour avoir mis en vente des données confidentielles. De telles informations méritent alors protection en ce qu’elles sont susceptibles de permettre au concurrent d’appréhender la stratégie industrielle et commerciale de sa rivale, mais aussi de connaître ses éventuelles faiblesses structurelles.

En 2019, la société Orapi a été condamnée pour espionnage industriel au paiement d’une amende de 80 000 euros. D’autres amendes ont également été prononcées à l’encontre du président-directeur général, du directeur du site de Lisieux ainsi qu’à l’encontre de la responsable marketing. Il était reproché à cette société d’avoir accédé à une base de données sécurisée appartenant à un groupement d’intérêt économique (GIE) dont faisait partie son concurrent et d’avoir téléchargé des fiches techniques et de fiches de sécurité de produits vendus, et ce, grâce à l’appropriation des identifiants appartenant à une ancienne employée. (1)

En effet, l’objectif recherché était la déstabilisation de l’entreprise visée, afin de tirer un profit économique ou industriel de cette situation. L’espionnage industriel est caractérisé par la récupération d’informations stratégiques (du point de vue commercial) de concurrents par des moyens illégaux, allant du piratage au chantage, en passant par la surveillance ou encore la violence.

Dans une autre perspective, il en va même de la sécurité de l’emploi, puisque la compétitivité érodée d’une entreprise, victime d’usurpation ou fuite, risque de se traduire par des licenciements.

En dehors des modes de réservation des créations immatérielles, les données, constitutives du savoir-faire d’une entreprise, ne peuvent faire l’objet d’un droit privatif ; le secret étant alors leur seul moyen de sauvegarde.

Alors que venait d’éclater l’affaire d’espionnage industriel supposé chez Renault, le député UMP du Tarn Bernard Carayon avait déposé, le 12 janvier 2011, la proposition de loi n°1754 sur le secret des affaires, visant à créer un délit d’atteinte aux informations économiques protégées.

Plusieurs tentatives ont été faites depuis 2004 pour instaurer un délit de violation du secret des affaires. Si Carayon, soutenu par quelques 124 députés co-signataires, avait déjà déposé une proposition de loi en 2009, et tenté d’introduire un amendement sur l’intelligence économique dans le projet de loi Loppsi sur la sécurité, la nécessité de renforcer la protection des entreprises contre l‘espionnage industriel ne cesse de se faire sentir.

Il s’agit alors d’instaurer des peines suffisamment sévères pour être dissuasives, à l’image de celles que prévoit le Cohen Act américain, de manière à combler les lacunes du droit français, qui, faute de sanctions précises et sévères, décourage les entreprises à porter les affaires d’espionnage industriel devant les tribunaux. Par ailleurs, les entreprises victimes sont souvent préoccupées par leur réputation et des conséquences d’images qui pourraient découler de ses poursuites. Elles renoncent d’autant plus à agir que la jurisprudence semble peu favorable aux entreprises victimes dans ces affaires (cf Michelin).

La loi loi n° 2018-670 du 30 juillet 2018, dont l’ensemble des dispositions avaient été validées par le Conseil Constitutionnel le 26 juillet 2018 a été adoptée. Cette loi vise à l’instauration d’un cadre commun qui va permettre de lutter et de prévoir des réparations quant aux atteintes au secret des affaires.

La question qui se pose est de savoir si, ces derniers se trouvent correctement protégés par une mise en œuvre du droit commun de la responsabilité délictuelle et contractuelle. Si le droit commun de la responsabilité délictuelle et contractuelle, utilisé par la jurisprudence, offre un cadre adéquat à la protection des secrets de l’entreprise, l’efficacité de la répression de la violation du secret pourrait être améliorée.

I/ La protection contre l’espionnage industriel dans le droit positif

A/ L’inefficacité des articles épars appréhendant l’espionnage industriel

La directive (UE) 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites est intervenue afin d’harmoniser les législations nationales des États membres portant sur la protection des secrets d’affaires dans le cadre de la lutte contre leur divulgation, leur obtention et leur utilisation illicites. A cet égard, l’article 19 de cette directive imposait aux États membres de s’y conformer en adoptant les dispositions législatives, réglementaires et administratives nécessaires, et ce, au plus tard le 9 juin 2018.

Dans ce sens, la loi n° 2018-670 du 30 juillet 2018 transposant la directive européenne n° 2016/943 du 8 juin 2016 a été adoptée. En outre, le décret n° 2018-1126 du 11 décembre 2018 précise les mesures d’application judiciaire de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires. Désormais, la protection du secret des affaires est consacrée dans le Code de commerce. (2)

L’article L. 151-1 du code de commerce introduit une définition sur la base de trois critères cumulatifs. Ainsi, est protégée l’information non généralement aisément accessible ou connue pour les personnes familières de ce type d’informations en raison de leur secteur d’activité, l’information qui revêt une valeur commerciale effective ou potentielle et qui, enfin, fait l’objet de mesures de protection raisonnables visant à en conserver le caractère secret. (3)

Premièrement, dans l’hypothèse où le secret d’affaires divulgué repose sur un mode de protection institué par la propriété intellectuelle, à l’instar d’une marque, de dessins et modèles, d’un brevet, ou d’un droit d’auteur, la loi prévoit expressément les cas spécifiques de protection et de recours pour contrefaçon des droits du titulaire (articles L 111-1, L 112-2, L 335-2 et suivants du Code de la propriété intellectuelle).

Celle-ci permet d’ailleurs de réagir de manière immédiate et efficace en faisant procéder à des mesures conservatoires, selon la procédure de saisie-contrefaçon, avec intervention d’huissiers de justice et de personnes assermentées. Une astreinte financière pourra de même être sollicitée, outre la confiscation. Toutefois, la sanction reste généralement financière, sous forme de dommages et intérêts qui sont parfois peu dissuasifs.

Cela dit, les contrats de travail peuvent contenir des clauses de confidentialité et des clauses de non-concurrence. Ces clauses permettent de sanctionner le salarié qui se livrerait à des activités d’espionnage. On peut également insérer une clause de confidentialité dans les contrats conclus avec des partenaires extérieurs, assortie d’une sanction financière. Toutefois, en l’état actuel du droit, on peut penser que la plupart des affaires se rapportant à l’espionnage industriel seraient tranchées devant le tribunal des Prud’hommes comme une violation du contrat de travail ce qui apparaît être une réponse assez peu efficace au problème.

En dehors de ces hypothèses de titres de propriété intellectuelle et clauses de contrat de travail, il est possible pour l’entreprise victime de s’appuyer sur des qualifications pénales classiques, telles que le vol du matériel supportant le savoir-faire (article 311-1 et suivants du Code pénal), voire l’abus de confiance dans le cadre de relations contractuelles (article 314-1 et suivants du Code pénal).

Des dispositions répressives pouvant permettre aux entreprises de lutter contre la fuite de leurs informations protégées existent également. Tel est le cas de l’article 226-13 du Code pénal qui réprime, d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende, la violation du secret professionnel, par une personne qui en est « dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire ».

En outre, une seconde disposition répressive pourrait contribuer à la lutte contre la fuite d’informations protégées, en ce qu’elle vise la corruption (article 445-1 et 2 du Code pénal), constituée si la communication des informations avait pour but de faciliter l’activité des concurrents. L’incrimination de la violation du secret de fabrique figure, quant à elle, aux articles L. 621-1 du Code de la propriété intellectuelle et L. 1227-1 du Code du travail, qui la sanctionnent par une peine de deux ans d’emprisonnement et 30 000 euros d’amende.

Seul ce délit de divulgation du secret de fabrication peut encore sembler inclure spécifiquement la violation d’un secret industriel. Il ressort donc de cette énumération qu’il n’existe aucun texte pénal qui sanctionne précisément l’appropriation de biens informationnels par espionnage industriel.

B/ L’insuffisance de la jurisprudence réprimant l’espionnage industriel

Le détenteur d’un secret, à la différence du titulaire d’un droit de propriété intellectuelle, ne dispose pas de l’action en contrefaçon, mais seulement d’une action en responsabilité fondée sur la preuve de la faute de l’usurpateur, au sens des articles 1382 ancien et suivants , devenu article 1240 du Code civil. Il convient de rappeler que tout professionnel a le droit d’attirer la clientèle de ses concurrents. Le préjudice concurrentiel est donc en principe licite. Toutefois, il devient fautif dès lors qu’il a été causé par des moyens déloyaux. Ainsi la jurisprudence affirme que l’action en concurrence déloyale a précisément pour objet d’assurer la protection de celui qui ne peut se prévaloir d’un droit privatif (arrêt de la Chambre commerciale du 3 octobre 1978).

Celui qui appréhende une information confidentielle sans l’accord du détenteur du secret, peut donc voir sa responsabilité engagée sur le fondement de la protection contre la concurrence déloyale. La faute du défendeur consiste alors dans l’accès et le détournement des connaissances contre la volonté de leur détenteur, caractérisant l’espionnage industriel, aussi appelé captation du savoir-faire d’autrui (arrêt de la Cour d’appel de Paris du 9 avril 1992).

À titre d’exemple, est répréhensible de débaucher un employé en lui proposant un salaire très élevé dans le but de connaître les secrets d’un concurrent (arrêt de la Chambre sociale du 7 juillet 1960). De même, fait figure d’acte d’espionnage industriel répréhensible, le fait, pour un commerçant, de se procurer, par l’intermédiaire d’un préposé transportant les produits d’une maison concurrente, la liste des clients de cette dernière (arrêt du TGI de Lure, du 13 avril 1962).

De surcroît, doit être réparé le préjudice moral et économique résultant de la faute d’un concurrent qui a créé cet état en faisant croire à son entourage que l’entreprise assurait mal la protection de certaines de ses données secrètes (arrêt de la Cour d’appel de Versailles du 11 septembre1997).

Le cas d’usurpation répréhensible le plus évident reste celui de personnes extérieures à l’entreprise, pratiquant des actes d’espionnage industriel ou commercial (arrêt de la Cour de Paris, du 9 avril 1992).

Il apparaît cependant important de noter qu’aujourd’hui, avec le numérique il est devenu plus complexe de trouver l’auteur de tels méfaits.

Finalement, la Cour de cassation est prête à appliquer des textes généraux pour sanctionner de tels faits d’appréhension, avec les dispositions relatives à l’abus de confiance sur le détournement de « projet » (arrêt de la Chambre criminelle du 22 septembre 2004), voire même au vol d’informations (arrêt de la Chambre criminelle du 21 janvier 2003).

La jurisprudence relative à la concurrence déloyale permet donc de maintenir le droit pour chaque entreprise de s’informer des initiatives et des innovations de ses concurrents, tout en assurant une certaine prohibition de l’espionnage. Une telle protection s’avère cependant insuffisante, et c’est d’autant plus le cas que les réparations accordées ne se font jamais en nature.

Généralement, la sanction de la violation des secrets de l’entreprise prend seulement une forme indemnitaire, puisqu’une fois dévoilée, l’information confidentielle semble perdre tout intérêt. Cette remarque doit être nuancée. Certes, des informations secrètes peuvent perdre tout intérêt une fois révélées, comme c’est le cas lorsqu’un cadre porte à la connaissance du public les difficultés financières traversées par une entreprise (arrêt de la Chambre sociale du 30 juin 1982).

Ceci étant, l’usurpation d’une donnée secrète ne suppose pas nécessairement sa divulgation, laquelle peut, de toute façon, ne pas faire perdre tout intérêt à cette information.

À titre d’exemple, constitue une information essentielle la liste des composants électroniques disponibles dans le commerce qui, selon les tests menés par une entreprise, sont les seuls à pouvoir résister à certaines contraintes mécaniques. Si la simple lecture de la liste par un concurrent fait perdre à l’entreprise son avantage concurrentiel, l’intérêt de cette information ne se trouve pas épuisé pour autant.

Il convient de noter qu’à chaque expérience menée par le concurrent ayant eu accès à la liste, celui-ci va mettre en œuvre cette connaissance, et c’est donc l’utilisation de la donnée usurpée qui cause à l’entreprise victime le dommage, justifiant de fait une réparation en nature. Elle suppose le prononcé d’une interdiction faite au concurrent ayant usurpé l’information de l’utiliser et de la divulguer ; en plus de la condamnation à l’octroi de dommages-intérêts, pour usurpation de l’information secrète.

Pour le moment, cette solution opportune demeure peu pratiquée en France, puisqu’on ne trouve que très peu d’arrêts prononçant sous astreinte la prohibition de l’utilisation des informations usurpées, afin de réparer le préjudice en nature.

Il convient de citer , parmi ces rares arrêts, celui rendu par la Chambre sociale le 12 mars 1996, où il est défendu à l’usurpateur, sous peine d’astreinte, de procéder à des audits ou d’accomplir des actes de formation pour les anciens clients de la société victime et d’utiliser du matériel et des documents provenant de cette société ; ou encore celui de la Chambre commerciale du 12 déc. 1995, où il est fait interdiction à la société usurpatrice de fabriquer et diffuser le produit.

En revanche, la réparation en nature est très présente dans certains pays étrangers, et en particulier aux États-Unis où les juges n’hésitent pas à interdire la divulgation et l’utilisation de secrets commerciaux, tels des fichiers clients, des méthodes logistiques, des formules chimiques ou même une liste de donneurs de sang. La voie indemnitaire est ainsi loin d’être la seule concevable pour dédommager l’entreprise.

De surcroit, non seulement l’allocation de dommages-intérêts ne permet pas toujours une réparation adéquate, mais surtout l’éventuelle expertise menée pour chiffrer le préjudice peut entraîner un nouveau risque de divulgation.

À l’heure où l’espionnage industriel prend une envergure sans précédent, la sécurité de l’entreprise dans un marché concurrentiel passe par une protection efficace de ses secrets, ce qui suppose, en plus d’un cadre juridique accueillant (comme soulevé dans le I-A), l’assurance d’une sanction efficace de nature à dissuader toute violation des secrets de l’entreprise.

II/ La nécessité d’une défense plus effective contre l’espionnage industriel

A/ L’affaire Michelin, témoin des limites de la protection

Le 21 juin 2010, le Tribunal correctionnel de Clermont-Ferrand par jugement a condamné un ancien salarié de la société Michelin qui avait tenté de vendre des informations obtenues au cours de son contrat de travail à la société Bridgestone, fabricant concurrent de pneumatiques.

Alors qu’il venait de démissionner, l’ex-ingénieur Michelin avait proposé à Bridgestone, en juillet 2007, des données confidentielles en échange de 100 000 livres. Elles portaient notamment sur une nouvelle génération de pneus poids lourds. Bridgestone avait alors prévenu Michelin, conduisant à l’arrestation de « l’espion ».

Plusieurs chefs de poursuite sont retenus et permettent de dresser un panorama des fondements juridiques de protection de l’information et du secret des affaires. Pourtant, compte tenu de la manière dont la société Michelin avait piégé son salarié, ce dernier, invoquant les dispositions de la Convention européenne des droits de l’Homme, a soutenu que le procès était inéquitable en raison de la déloyauté dans la collecte de la preuve.

Michelin était informé par Bridgestone des intentions de son salarié, a créé une adresse e-mail se terminant par « fukuda », pseudonyme qui aurait permis de piéger le salarié.

D’abord, il est reproché au salarié le délit précité d’abus de confiance, dont dispose l’article 314-1 du Code pénal, qui condamne à une peine de cinq ans d’emprisonnement et 375 000 euros d’amende, toute personne ayant détourné au préjudice d’autrui, des fonds, des valeurs ou biens quelconques qui lui ont été remis et qu’elle avait acceptés à charge de les rendre.

Ainsi, le tribunal confirme ainsi la jurisprudence selon laquelle lorsqu’une information remise dans un but déterminé est utilisée à d’autres fins, il y a abus de confiance, et ce peu importe que le bien en cause soit immatériel (arrêt rendu par la Chambre criminelle le 14 novembre 2000 s’agissant d’un numéro de carte bancaire mémorisé pour être réutilisé).

La jurisprudence qui applique, aux affaires d’espionnage industriel, les dispositions précitées réprimant la révélation des secrets de fabrique, notamment l’article L. 1227-1 du Code de travail, prévoyant une peine d’emprisonnement de 2 ans et 30 000 euros d’amende, pour tout directeur ou salarié d’une entreprise qui révélerait ou de tenterait de révéler un secret de fabrication est de même confimée.

Il faut regretter l’étroitesse de la rédaction qui ne couvrirait pas des tiers à l’entreprise comme les stagiaires. De plus, la difficulté juridique tient à la définition du secret de fabrication.

Finalement, le tribunal n’a pas admis l’existence d’un secret de fabrique et sa protection corollaire et a motivé sa position de la manière suivante : « Procédé de fabrication offrant un intérêt pratique ou commercial, tenu secret qu’aucune précision n’a été apportée par la Manufacture Michelin concernant l’éventuel dépôt de brevet pour ce procédé qui était déjà en phase de développement ». Il est exigé comme condition de la protection du secret de fabrique un dépôt de brevet éventuel, alors que ce lien avec la brevetabilité d’un produit peut paraître étonnant en ce qu’il ajoute une condition au texte, ainsi partiellement vidé de sa substance.

Le texte sur le secret de fabrique n’a pas vocation à protéger uniquement l’avant-brevet, mais également des savoir-faire ou techniques qui ne peuvent être brevetés, à la condition qu’ils soient originaux…

Finalement, l’atteinte aux droits fondamentaux de la nation du fait de la « livraison à une entreprise étrangère de renseignements dont l’exploitation et la divulgation sont de nature à porter atteinte aux intérêts fondamentaux de la nation », réprimée par l’article 411-6 du Code pénal, d’une peine de 15 ans de détention criminelle et de 225 000 euros d’amende a pu être évoquée dans l’affaire.

Ce délit consiste à recueillir en vue de livrer à une puissance, entreprise ou organisation étrangère, voire à leurs agents, des procédés ou données informatisées, dont l’exploitation ou la réunion est de nature à porter atteinte aux intérêts fondamentaux de la nation.

Le problème réside dans la difficulté de la réunion des conditions d’application de l’article, d’autant plus que cette disposition ne peut s’appliquer pour sanctionner l’espionnage industriel que dans la seule hypothèse où l’État est mis en danger.

Alors même que cette récente affaire Michelin témoigne de l’existence de divers moyens de protection contre l’espionnage industriel, qu’applique la jurisprudence française, elle fait également apparaître les limites à la protection française constituée autour de dispositions éparses, se révélant, qui plus est, peu efficace au moment de leur mise en œuvre.

B/ La loi relative à la protection des informations économiques comme remède ?

Cette directive intervient sur de nombreux points. Pour commencer, elle définit le secret d’affaires comme des informations non divulguées qui sont secrètes, ont une valeur commerciale et font l’objet de mesures raisonnables de protection pour en assurer la confidentialité.

Les détenteurs de secrets d’affaires sont tenus de prendre des mesures raisonnables pour protéger leur confidentialité, par exemple, en utilisant des accords de confidentialité, des restrictions d’accès, des mesures de sécurité, etc.

Par ailleurs elle interdit l’obtention illicite de secrets d’affaires, y compris le vol, l’espionnage, la corruption ou toute autre pratique déloyale. Elle interdit également leur utilisation et leur divulgation illicites. Des exceptions sont prévues afin de protéger l’intérêt public, notamment en permettant la divulgation des secrets d’affaires dans le cadre de dénonciations d’activités illégales, de la protection des intérêts légitimes des travailleurs ou de l’exercice de la liberté d’expression et d’information.

Enfin la directive établit des mécanismes pour obtenir des mesures provisoires et des réparations en cas de violation des secrets d’affaires, y compris des injonctions pour empêcher l’utilisation ou la divulgation illicite, ainsi que des réparations pour les dommages subis.

En France, la loi n° 2018-670 du 30 juillet 2018 a permis de procéder à la transposition de la directive européenne. En outre, le décret n° 2018-1126 du 11 décembre 2018 précise les mesures d’application judiciaire de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires. Désormais, la protection du secret des affaires est consacrée dans le Code de commerce. (2) Les secrets d’affaires peuvent inclure des informations telles que des formules, des procédés de fabrication, des techniques, des méthodes commerciales, des bases de données, des plans, des études, etc.

Ayant reçu la validation du Conseil constitutionnel, la loi complète le Code de commerce en apportant des précisions quant à l’objet et aux modalités de protection. Par ailleurs elle définit le régime des actions préventives, correctives et compensatoires en cas de violation du secret des affaires et établit des mesures générales de protection applicables devant les juridictions civiles ou commerciales.

L’article L. 151-1 du code de commerce introduit une définition sur la base de trois critères cumulatifs. L’information protégée doit ainsi ne pas être connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité, elle doit revêtir une valeur commerciale effective ou potentielle qui résulte de son caractère secret, et doit faire l’objet de mesures de protection raisonnables pour demeurer secrète, compte tenu des circonstances. (3)

Le dispositif mis en place au travers de cette loi est plus efficace, dotant la justice de moyens répressifs plus importants.

Cette loi prévoit en son article 1er de punir « l’atteinte au secret d’une information à caractère économique protégée » par une peine de trois ans d’emprisonnement et 375 000 euros d’amende ; le double si le responsable de la fuite a agi dans « l’intention de nuire » à l’entreprise ou en a tiré un « profit personnel ».

Une définition plus précise quant à l’objet de la révélation incriminée est expressément fournie. En effet, sont expressément qualifiées d’informations à caractère économique protégées, les informations ne constituant pas des connaissances générales librement accessibles par le public, ayant, directement ou indirectement, une valeur économique pour l’entreprise, et pour la protection desquelles leur détenteur légitime a mis en œuvre des mesures substantielles conformes aux lois et usages, en vue de les tenir secrètes.

Cette loi avait été directement inspirée de l’Economic Espionnage Act américain de 1996 (également appelé Cohen Act), selon lequel « Toute personne qui a accès ou s’approprie sans autorisation des informations représentant une valeur économique, qui ne sont pas dans le domaine public et pour lesquelles une entreprise a pris des mesures de protection substantielles est passible de sanctions pénales et civiles ».

La loi Loppsi 2 , s’ajoutant à ce dispositif, peut faire figure de moyen supplémentaire de lutte contre l’espionnage industriel.

Par ailleurs, il convient de souligner les apports du RGPD et la NIS 2 dans ces domaines. Les nouvelles exigences de sécurité qu’ont imposé ces réglementations entendent protéger les données des entreprises et des personnes physiques afin de garantir leur compétitivité mais également la confidentialité de ces dernières.

Elles s’attèlent à réglementer l’ensemble de la chaîne qui entretient un lien direct ou indirect avec l’entreprise et peut potentiellement provoquer des failles de sécurité.

Protéger la myriade de sous-traitants est une mission très complexe.

Sur le plan pratique, il est institué un « confidentiel entreprise », comme il existe un « confidentiel défense ». Certains documents scientifiques, techniques, commerciaux ou financiers seraient frappés de cette mention, leur divulgation constituant une infraction pénale. Les données protégées sont celles dont la divulgation porterait une atteinte grave aux positions stratégiques, au potentiel ou aux intérêts de l’entreprise, méritant donc au même titre que les brevets industriels de voir leur confidentialité protégée.

Pour lire une version plus complète de cet article sur l’espionnage industriel, cliquez ici

Sources :

: https://actu.fr/normandie/lisieux_14366/lisieux-condamnee-espionnage-industriel-societe-orapi-fait-appel-la-decision_21784189.html
: LOI n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires
: https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037266553/

Par Murielle Cahen • Société et droits • • Tags: contrats, espionnage, industrie, secret

2 Mar 2023

CLOUD COMPUTING ET RISQUES JURIDIQUES

Le Cloud Computing a fait émerger, en dépit de son caractère récent, une foule de questions notamment sur les avantages, mais surtout sur les risques liés à ce Cloud Computing. Alors doit-on se méfier ou au contraire approuver le Cloud ?

Le monde est fait de révolutions industrielles et de « modes » 1990 : le PC Windows, 2000 : Internet dans les entreprises, et… 2010 : le Cloud Computing !

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le Cloud Computing ou « l’informatique dans les nuages », fait référence à une technique de service informatique qui permets aux utilisateurs tiers d’accéder aux ressources Internet d’un hébergeur, sans être contraints d’acquérir ou de louer le matériel informatique ou le logiciel ou encore de conclure des contrats de maintenance et de prestation de services y afférents. Plus précisément, cette technologie permet d’utiliser la puissance de serveurs informatiques à distance par l’intermédiaire d’un réseau.

Le National Institute of Standards and Technology (NIST) définit le cloud computing comme étant « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables ».

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Les multiples utilisateurs peuvent partager certaines données, générer automatiquement leurs propres fichiers et communiquer en ligne avec des tiers auxquels ils auront préalablement autorisé l’accès auxdites données, et ce, grâce à un système d’authentification (mot de passe et codes d’authentification. Mais l’usage de cet outil novateur que constitue le Cloud Computing contient, en son sein, des risques juridiques liés à la protection des données qu’il permet de traiter.

Dans ce sens, le début de la première initiative s’était concrétisé par le partenariat entre les entreprises Intel, Hewlett Packard et Yahoo! fin juillet 2008 dans le but de promouvoir la recherche dans ce domaine du Cloud Computing. On parlait alors de « cloud computing test bed », ayant pour objectif de créer un « environnement distribué » à l’échelle mondiale, permettant notamment la recherche sur les logiciels et le matériel informatique, ainsi que la centralisation de données.

Ensuite, le gouvernement américain suivait cette ligne en lançant le 22 novembre 2010 sa politique de « cloud prioritaire ».

Aujourd’hui, les services de cloud computing, qui déjà lancés par un certain nombre de sociétés dont Amazon et Google, et même Microsoft avec sa plateforme cloud Azure qui répond déjà aux attentes des développeurs, pourraient bien révolutionner l’informatique des entreprises.

Le cloud computing, permettant désormais d’externaliser l’utilisation de la mémoire ainsi que les capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier, offre en effet aux entreprises une formidable puissance informatique s’adaptant de surcroît à la demande. Mais le cloud computing présente également un certain nombre de risques juridiques dont il convient de se prémunir dans le cadre d’un contrat adapté.

Les dépenses mondiales en services de cloud computing devraient augmenter de 23 % en 2023, selon un récent rapport de CanalysLes réalités de la dégradation des conditions macroéconomiques et de la récession imminente ont entraîné un ralentissement du volume et du rythme de la migration vers le cloud au quatrième trimestre, notamment de la part des entreprises, qui ont généralement des charges de travail plus importantes.

Il s’agit d’une technique qui diffère des contrats classiques d’outsourcing aux termes desquels un prestataire tiers sera en charge du traitement technique des données (données personnelles comprises).

Le droit français et la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n° 95/46/CE du 24 octobre 1995, considèrent en principe ce prestataire tiers (hébergeur du système de Cloud Computing) comme un sous-traitant des données agissant conformément aux instructions d’un responsable du traitement des données.

Le RGPD, dans son article 28, impose l’existence d’un contrat liant le responsable de traitement, à savoir le client, et le sous-traitant qui n’est autre que le prestataire de services de cloud.

Néanmoins, il peut s’avérer que cette qualification peut s’avérer plus complexe comme ses conséquences sur le plan contractuel. L’affaire Swift, concernant une société de droit belge, qui assure le transfert de fonds internationaux à des établissements financiers, témoigne de cette complexité.

La société Swift prétendait qu’elle était le sous-traitant des données en question lorsqu’elle exportait des données personnelles et des données financières hors de l’Union européenne dans le cadre d’opérations financières. Et la Justice belge a en effet considéré que les établissements financiers impliqués dans ces opérations étaient les responsables des données personnelles en question et que Swift devait ainsi être considéré comme sous-traitant de ces données de fait et délégué desdits établissements financiers. Cette affaire révèle assez clairement les risques juridiques qu’entretient l’innovation du Cloud Computing.

Enfin, le cloud permet à l’entreprise de s’affranchir des contraintes traditionnelles (la bonne appréciation du nombre de serveurs, de la capacité nécessaire) et d’avoir une approche modulaire en fonction des besoins. Sur le plan juridique, on se rapproche du cas dans lequel une entreprise déciderait d’externaliser tout ou partie de son système d’information.

Une démarche prudente consiste en l’appréhension des risques et la prise des mesures nécessaires à la garantie la continuité du service, la sécurité des données, la qualité du service, la réversibilité… Finalement, la question liée à la confidentialité doit rester une préoccupation centrale. Ces différents sujets sont très similaires à ceux de l’outsourcing. Donc, dans l’ensemble, des réponses existent déjà et pourraient être mises en œuvre.

Il conviendra donc d’exposer ce qu’est le concept de cloud computing (1), pour ensuite définir et se prémunir des risques juridiques liés à son utilisation (2).

I. Qu’est-ce que le cloud computing ?

Il convient de définir le cloud computing (A), ainsi que ses avantages (B).

A) La définition du cloud computing

Le cloud computing présente un concept récent permettant d’utiliser de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau tel Internet. Le cloud computing permet ainsi de disposer, à la demande, de capacités de stockage et de puissance informatique sans disposer matériellement de l’infrastructure correspondante.

Le cloud computing est la prestation de services informatiques (comme des logiciels, des bases de données, des serveurs et des réseaux) sur Internet. Cela signifie que les utilisateurs finaux peuvent accéder aux logiciels et aux applications, peu importe où ils se trouvent. Pour les utilisateurs, le « Cloud » est synonyme de connexion permanente à des applications web, au stockage de données, au traitement et à d’autres ressources informatiques.

L’infrastructure du fournisseur est ainsi totalement autonome et déconnectée de celle du client, ce qui permet à ce dernier de s’affranchir de tout investissement préalable (homme ou machine). L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté, le plus souvent au moyen d’un simple navigateur Internet.

Il existe également des clouds computing publics qui constituent des services partagés auxquels toute personne peut accéder à l’aide d’une connexion Internet et d’une carte de paiement, sur une base d’utilisation sans abonnement. Ce sont donc des infrastructures virtualisées que se partagent plusieurs utilisateurs.

Les clouds privés (ou d’entreprise), quant à eux, ils tendent à reprendre le même modèle de distribution des clouds computing publics, à la différence qu’ils sont détenus et gérés de manière privée, l’accès pouvant être limité à une seule entreprise ou à une partie de celle-ci. Ces derniers peuvent ainsi apparaître comme plus sûrs en termes de sécurité, de stabilité, de confidentialité et de persistance des données.

Globalement, le cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, que l’on pourrait classer d’un point de vue juridique, au croisement des services d’externalisation, et des services ASP et SaaS.

En effet, les services d’externalisation (ou « outsourcing ») consistent à confier la totalité d’une fonction ou d’un service à un prestataire externe spécialisé, pour une durée pluriannuelle. Grâce à de tels contrats, le client peut s’exonérer des contraintes de gestion et de maintenance d’un système informatique.

Les services « ASP » (pour « Application Service Provider ») dérivent des contrats d’outsourcing. Sauf que dans les contrats ASP, le client ne fait que louer un droit d’accès et d’utilisation du système informatique auprès du prestataire. Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même une infrastructure informatique, des licences d’utilisation de progiciels etc.

Les services SaaS (pour « Software As A Service »), sont quant à eux des dérivés des contrats ASP dont ils constituent une forme particulière (application personnalisée), en externalisant le système informatique du client, auquel celui-ci à accès exclusivement par Internet.

B) Les apports du cloud computing

L’adoption du Cloud a été rapide et globale. A l’origine, les trois principes raison qui envoient les entreprises à adopter les services Cloud sont : la flexibilité de la fourniture des services, les équipements géographiques et l’offre.

En effet, le Cloud computing offre la possibilité d’étendre le système d’information d’une entreprise à la simple demande de celle-ci, en fonction de l’utilisation attendue (pics d’activité, pics de fréquentation, etc.).

Les services fournis dans le cadre du cloud computing sont vastes. L’entreprise peut notamment bénéficier d’une capacité de traitement de l’information (sans acquérir des ordinateurs et ressources nécessaires), d’infrastructures informatiques (de type réseaux), de capacités de stockage et d’archivage (sans avoir à se doter de serveurs spécifiques) mais aussi d’applications informatiques (sans avoir à acquérir les licences correspondantes).

Ainsi, le cloud computing permet, sans investissement majeur en termes d’infrastructure et de dépenses en capitaux, de bénéficier d’un service à moindre coût fondé sur la consommation, de type « pay-per-use », et par suite d’optimiser la gestion des coûts d’une entreprise.

De ce fait, le prix d’un tel service est calculé en fonction de la consommation effective d’une entreprise, tout comme pour l’utilisation du gaz ou de l’électricité. L’entreprise achète en quelque sorte la possibilité d’utiliser de la puissance informatique sur demande.

Au-delà du service en lui-même, les avantages du cloud computing, résident donc d’une part dans la simplicité et la rapidité de mise en œuvre dudit service, et d’autre part dans la grande flexibilité liée à l’offre sur demande que celui-ci permet.

Enfin, il convient de noter que techniquement, il est possible de mettre n’importe quelle application dans un cloud computing. Néanmoins, ses usages principaux concerneront essentiellement le management lié aux nouvelles technologies, la collaboration, les applications personnelles ou d’entreprise, le développement ou le déploiement des applications et enfin les capacités serveurs et de stockage.

A titre d’illustration, Microsoft a investi des centaines de millions de dollars cette année pour construire et améliorer les centres de données (le dernier, ouvert à Chicago, compte 300000 serveurs !) qui rendent ses ambitions de cloud computing possibles. Malgré la crise économique, Microsoft a investi 9 milliards de $ en R&D, 10 % de plus que l’année dernière, et les spécialistes prédisent déjà que le géant américain, malgré les critiques faites à son encontre, sera l’acteur le plus prééminent et le plus rentable en la matière.

Le cloud computing constitue donc un service mutualisé et virtualisé, dont le coût varie uniquement en fonction de l’utilisation effective, qu’il conviendra d’encadrer spécifiquement sur un plan juridique.

II . Les risques juridiques liés à l’utilisation du cloud computing

Les principaux risques juridiques du cloud computing sont inhérents aux données (A). Il convient de s’en prémunir dans des contrats sécurisés (B).

A) La sécurité et la sécurisation des données

Le cloud computing se base sur l’hypothèse selon laquelle la majeure partie de l’informatique s’effectue sur une machine souvent distante qui diffère de celle en cours d’utilisation. Les données recueillies lors de ce processus sont stockées et traitées par des serveurs distants (aussi connus sous le nom de « serveurs Cloud »), ce qui signifie que l’appareil qui accède au Cloud est moins sollicité.

Ces serveurs libèrent la mémoire et la puissance de calcul des ordinateurs personnels puisque ce sont eux qui hébergent les logiciels, les plates-formes et les données. Les utilisateurs accèdent aux services Cloud de manière sécurisée : il leur suffit d’utiliser les identifiants transmis par le fournisseur de cloud computing.
Comme le cloud computing implique d’héberger la charge de travail de l’ordinateur d’un utilisateur sur une machine différente, le Cloud est donc accessible partout et disponible dès lors qu’une connexion Internet l’est également.

Certaines sociétés ont leur propre infrastructure Cloud pour conserver les données utilisateur (Google dispose par exemple de ses propres serveurs, tout comme Salesforce). Toutefois, un Cloud peut aussi consister en un nombre restreint d’ordinateurs. Ainsi, il existe des Clouds publics et privés, qui peuvent être autohébergés ou hébergés par un tiers. Pour les Clouds privés, les utilisateurs doivent disposer de plates-formes ou de sessions appropriées (comme un navigateur web ou un compte en ligne) pour pouvoir accéder aux serveurs et aux données qu’ils contiennent.

La mise en place de services de cloud computing n’est pas sans risques, notamment au regard de la sécurité et de sécurisation des données. En effet, l’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Ce risque se trouve donc amplifié par la mutualisation des serveurs et par la délocalisation de ceux-ci.

L’accès aux services induira donc des connexions sécurisées et une authentification des utilisateurs. Se posera alors le problème de la gestion des identifiants et celui des responsabilités (accès non autorisé, perte ou vol d’identifiants, niveau d’habilitation, démission ou licenciement, etc.).

Il existe également un risque de perte de données qu’il conviendra de prendre en considération, d’évaluer et d’anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.). De même, il existe également des risques au regard de la confidentialité des données (fuites), vu le nombre de serveurs et la délocalisation de ceux-ci.

De surcroît, la réalisation des services de cloud computing étant assurée par un prestataire externe, celle-ci comporte des risques au regard de la qualité de service obtenue, et de la propriété et de l’intégrité des données et/ou applications confiées, risques qu’il conviendra donc de prévoir contractuellement.

En outre, la mise en place de ce type de service peut parfois s’avérer onéreuse. Il existe en effet des risques financiers liés aux outils de contrôle servant à évaluer la consommation du cloud computing, et sa facturation. Il conviendra ainsi de définir contractuellement une unité de mesure du stockage, et des ressources informatiques utilisées, ou encore du nombre d’utilisateurs actifs, afin que cela reste avantageux pour l’entreprise concernée.

Finalement, la mise en place de services de cloud computing fait naître pour l’entreprise un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l’Union européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération ces problématiques.

En effet, le contrat doit tenir compte de ces contraintes, d’autant que le fait de confier ses données à un sous-traitant n’exonère pas le responsable du traitement de ses obligations. Cette question prend une ampleur particulière, car les serveurs sont délocalisés et le client n’a pas à connaître la localisation des serveurs.

Cependant, la loi impose, pour les transferts de données à caractère personnel hors de l’Union européenne, des formalités d’autorisation. Il est donc prudent d’imposer au prestataire de cloud computing soit un engagement de maintenir ses serveurs au sein de l’Union européenne, soit de veiller à être bien informés dans le cas d’un transfert hors Union européenne.

Il convient de distinguer entre les données personnelles telles que définies par le Règlement général sur la protection des données (RGPD) et les données commerciales non personnelles. Le RGPD, dans son article 4, définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte par référence à des éléments qui lui sont propres. Sachant que les données à caractère personnel sont protégées par ce règlement, les données commerciales, quant à elles, sont régies par les dispositions de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires et plus précisément en vertu l’article L151-1 du Code de commerce. (1)

B) Les précautions juridiques nécessaires à la rédaction d’un contrat de cloud computing

Il conviendra d’un point de vue général de mettre en place, pour pallier les risques précédemment évoqués, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service, également appelée « SLA » (pour « Service Level Agreement »), permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement.

En outre, la convention pourra comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités.

Il s’avère primordial de contractualiser un plan de réversibilité permettant d’assurer le transfert des services à d’autres prestataires, et ce, pour assurer une pérennité des services de cloud computing.

Plus particulièrement, il conviendra de prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d’années), les conditions de cette réversibilité (simple discontinuité du service, ou arrêt total du service) et enfin le coût de celle-ci.

Il sera préconisé de prévoir la réplication des données sur plusieurs sites distants ou l’obligation de résultat de restauration des données dans des délais contractuels définis afin de palier leur perte. L’accord de Cloud Computing devra aussi stipuler une garantie de paiement d’une indemnité aux personnes physiques concernées par les données personnelles, en cas de traitement illicite ou de perte de ces dernières.

Le contrat prendra soin de préciser que l’ensemble des traitements ne seront opérés par l’hébergeur que sur instructions et contrôle des utilisateurs, c’est-à-dire sans prise d’initiative sans instructions expresses des utilisateurs considérés comme responsables de traitements.

En ce qui concerne l’intégrité et de la confidentialité des données, il pourra être prévu une clause d’audits externes, chargés d’une mission de contrôle acceptée par l’hébergeur du service. Notons aussi qu’il conviendra de s’assurer de la bonne rédaction de la clause de responsabilité du contrat, et d’encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles.

Mais s’agissant plus particulièrement les données sensibles que sont les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

Le client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l’UE. Pour se prémunir, il pourra aussi stipuler une interdiction pour l’hébergeur de regrouper, ou de stocker sur des serveurs identiques, un fichier de données avec d’autres fichiers comportant des données dites sensibles (par exemple : des fichiers comportant des informations bancaires et financières).

Enfin, nouveau modèle d’intégration de services informatiques, utilisables à la demande via Internet, reposant sur l’hébergement et l’accès à distance, attractif pour les entreprises, le cloud computing reste complexe à maîtriser.

Naturellement le bénéficiaire du cloud computing aura intérêt à s’assurer que le contrat de cloud comporte une clause intuitu personae, à encadrer autant que possible les conséquences de la disparition de son cocontractant.

Il conviendra par conséquent pour les entreprises de mettre en place un cadre contractuel adapté. L’encadrement juridique est en effet primordial pour prévenir les risques liés à ce service, qui, d’ici 2020, permettra aux entreprises de faire migrer l’essentiel de leurs applications dans les « nuages ».

Cela étant, il est intéressant d’évoquer le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui avait été adopté, le 8 mars 2018, par le Congrès américain. Ce Cloud Act permet aux agences de renseignement américaines ou aux forces de l’ordre d’obtenir les informations stockées dans les serveurs des opérateurs de télécoms et des fournisseurs de services de Cloud computing.

En effet, les prestataires de services sont obligés de communiquer « les contenus de communications électroniques et tout enregistrement ou autre information relative à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis ». (2)

Suivant l’exemple américain, les instances européennes ont entamé le travail sur un Cloud Act européen ayant pour objectif l’établissement d’un cadre juridique permettant d’instaurer une souveraineté de l’Union européenne sur son propre cloud. Ces mesures se justifient par les difficultés de mises en œuvre inhérentes au recours au cloud. Comme l’a formulé Frédéric Forster : « Si le recours au cloud a la particularité d’être aisé et convivial, il ne se heurte toutefois pas à des difficultés juridiques de mise en œuvre, voire à des convoitises dont il est évidemment indispensable qu’elles soient régulées et coordonnées ». (3)

Pour lire une version plus complète de cet article sur les risques juridiques du cloud computing, cliquez

Sources

: https://www-labase-lextenso-fr.ezproxy.univ-paris13.fr/gazette-du-palais/GPL425s1?em=cloud%20computing
https://www-lamyline-fr.ezproxy.univ-paris13.fr/content/document.aspx?idd=DT0004728009&version=20191114&DATA=yvwYAHK3r6rxmIABJzwNyn
Forster, Les nouveaux enjeux juridiques, EDI 85 spécial Cloud computing,
Magazine de février 2019, Dossier p. 44 et suivantes
https://www.lexis360intelligence.fr/encyclopedies/JurisClasseur_Communication/CU0-TOCID/document/EN_KEJC-201260_0KRO?q=cloud%20computing&doc_type=doctrine_fascicule
https://www.lexis360intelligence.fr/encyclopedies/JurisClasseur_Communication/CU0-TOCID/document/EN_KEJC-201282_0KRO?q=cloud%20computing&doc_type=doctrine_fascicule

Par Murielle Cahen • internet-et-droit • • Tags: cloud computing, informatique, protection des données personnelles, protection vie privé, rgpd

1 2 3 4 5

Murielle Cahen Cabinet d’avocats Paris

Résultats de recherche pour: fuite de donnée

La Proposition de Loi Narcotrafic : Une Menace pour les Libertés Numériques

I. Les atteintes techniques à la vie privée : un péril pour la sécurité collective

A. L’affaiblissement du chiffrement de bout en bout : une faille systémique

B. L’espionnage des appareils connectés : une intrusion sans limites

II. Les dérives démocratiques : entre opacité et érosion des droits de la défense

A. Le « dossier-coffre » : une entrave au procès équitable

B. L’extension des « boîtes noires » : une surveillance algorithmique incontrôlée

III. Critique de la proposition de la loi

COMMENT SE DÉFENDRE CONTRE L’ESPIONNAGE INDUSTRIEL ?

I/ La protection contre l’espionnage industriel dans le droit positif

A/ L’inefficacité des articles épars appréhendant l’espionnage industriel

B/ L’insuffisance de la jurisprudence réprimant l’espionnage industriel

II/ La nécessité d’une défense plus effective contre l’espionnage industriel

A/ L’affaire Michelin, témoin des limites de la protection

B/ La loi relative à la protection des informations économiques comme remède ?

Internet et droit

Sécurité des paiements

# Coordonnées du cabinet

# Publications Murielle Cahen

Contactez-nous

Murielle Cahen Cabinet d’avocats Paris

Résultats de recherche pour: fuite de donnée

La Proposition de Loi Narcotrafic : Une Menace pour les Libertés Numériques

I. Les atteintes techniques à la vie privée : un péril pour la sécurité collective

A. L’affaiblissement du chiffrement de bout en bout : une faille systémique

B. L’espionnage des appareils connectés : une intrusion sans limites

II. Les dérives démocratiques : entre opacité et érosion des droits de la défense

A. Le « dossier-coffre » : une entrave au procès équitable

B. L’extension des « boîtes noires » : une surveillance algorithmique incontrôlée

III. Critique de la proposition de la loi

Les limites du droit à l’oubli et du référencement

I. Le droit à l’oubli : Cadre et mise en œuvre

A. Démarches pour faire valoir son droit à l’oubli

Description des procédures à suivre pour soumettre une demande

Identification du moteur de recherche

Remplissage du formulaire de demande

Soumission de la demande

Attente de la réponse

Notification de la décision

Possibilité de recours

Rôle des moteurs de recherche et des plateformes concernées

Pertinence des informations

Actualité des informations

Caractère préjudiciable des informations

Processus de décision

Transparence et responsabilité

Recours en cas de refus

B. Application géographique du droit à l’oubli

Cadre juridique en Europe

Comparaison avec d’autres juridictions

II. Les enjeux et limites du droit à l’oubli

A. Critiques et inconvénients du droit à l’oubli

1. Impact sur la liberté d’expression et le droit à l’information

Problèmes pratiques liés à l’application du droit à l’oubli

B. Les conséquences de l’oubli sur la société et l’individu

Risques de perte de mémoire collective et de révisionnisme

Effets sur les individus concernés

COMMENT SE DÉFENDRE CONTRE L’ESPIONNAGE INDUSTRIEL ?

I/ La protection contre l’espionnage industriel dans le droit positif

A/ L’inefficacité des articles épars appréhendant l’espionnage industriel

B/ L’insuffisance de la jurisprudence réprimant l’espionnage industriel

II/ La nécessité d’une défense plus effective contre l’espionnage industriel

A/ L’affaire Michelin, témoin des limites de la protection

B/ La loi relative à la protection des informations économiques comme remède ?

CLOUD COMPUTING ET RISQUES JURIDIQUES

I. Qu’est-ce que le cloud computing ?

A) La définition du cloud computing

B) Les apports du cloud computing

II . Les risques juridiques liés à l’utilisation du cloud computing

A) La sécurité et la sécurisation des données

B) Les précautions juridiques nécessaires à la rédaction d’un contrat de cloud computing

Internet et droit

Sécurité des paiements

# Coordonnées du cabinet

# Publications Murielle Cahen

Contactez-nous